ホーム

LHAだけじゃない脆弱性

gzipだけじゃない脆弱性のコメント欄でMicco氏が書いておられるように,Google の Tavis Ormandy のパッチはアルゴリズムを無視しているので肝心の復号ができなくなるようだ。で,Micco氏のgzip における脆弱性の影響についてを読むと,7-Zip,WinRAR,Windows XPのLZH展開ルーチン,それにARJ(LHAのコピーから始まった)も危ない。

[2006-09-28追記] Tavis Ormandy から返事をいただいた。パッチを修正してもらえるとのこと。

[2006-11-26追記] Vine Linux errata [lha にセキュリティホール]

  • 投稿者:okumura 投稿日時:2006-09-27 22:44
  • ログインしてコメントを投稿

Re: LHAだけじゃない脆弱性

今現在どれくらい利用されているかは分かりませんが、ひょっとするとZOOも危ないかもしれません。
私はC言語のコードがさっぱり書けないのですが、maketbl.cのmake_table()が同じ処理をしているように見えました。

  • 投稿者:demo-n (未認証ユーザ) 投稿日時:2006-09-28 01:56
  • ログインしてコメントを投稿

Zoo

あ,Zooもそうですね。ありがとうございます。

  • 投稿者:okumura 投稿日時:2006-09-28 07:49
  • ログインしてコメントを投稿

これってちょっと昔なら

「私が書いたコードを使っていたな。著作権の侵害だから利用料金その他を支払え」

といえるような話なのでは?奥村さんはそういうことを言う人ではないにせよ。

  • 投稿者:ROM男 (未認証ユーザ) 投稿日時:2006-10-02 09:42
  • ログインしてコメントを投稿

オープンソースですので

その点は大丈夫でしょう。

  • 投稿者:okumura 投稿日時:2006-10-02 11:23
  • ログインしてコメントを投稿

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。