EximのGHOST脆弱性の影響とバリデーションの関係

とりあえず拾いました
2
Yasuo Ohgaki (大垣靖男) @yohgaki

こういう事があるので「アプリで入力バリデーションします」と言っています。普通に入力バリデーションしていれば、このケースでも少なくとも自分のアプリが進入経路になることはありません。 fb.me/1zMut7F5x

2015-01-28 18:54:52
Yasuo Ohgaki (大垣靖男) @yohgaki

GHOSTで大騒ぎですが、全てのアプリが普通に入力バリデーションをしていれば騒ぐような事にはなりませんでした。入力バリデーションの有用性を必死に否定しようとする開発者の論理がどうなっているのか、私には全く理解できません。

2015-01-28 19:07:30
Ikeda Masakazu @ikepyon

アプリケーションは入力値によって挙動が変わる→入力値さえ制御すればおかしなことが起こらない→おかしなことが起こるのは脆弱性だ→入力値のバリデーションはバリデーションだという思考が成り立ってるんだろうなぁ

2015-01-29 10:49:38
Ikeda Masakazu @ikepyon

でも実際のアプリケーションは入力値を様々に加工して使うので、その結果、バリデーションで問題なくても、脆弱性になるケースが多々ある。バリデーションの仕様自体はアプリケーションの仕様によって決まってくるもんだしね

2015-01-29 10:51:12
Ikeda Masakazu @ikepyon

@ikepyon x「バリデーションはバリデーションだ」 → ○「バリデーションはセキュリティ対策だ」だった

2015-01-29 10:53:15
Ikeda Masakazu @ikepyon

正しくは「アプリケーションは入力値によって挙動が変わる→入力値さえ制御すればおかしなことが起こらない→おかしなことが起こるのは脆弱性だ→入力値のバリデーションはセキュリティ対策だという思考が成り立ってるんだろうなぁ」だったわw

2015-01-29 10:54:48
Yasuo Ohgaki (大垣靖男) @yohgaki

今話題のGHOSTですが、気になったので調べてみました。自分で調べる必要がなかったので助かりました。 blog.ohgaki.net/ghost-what-is-… fb.me/3bz7GjBU3

2015-01-29 14:34:27
リンク blog.ohgaki.net glibcのGHOST脆弱性の内容と検出 | yohgaki's blog
Yasuo Ohgaki (大垣靖男) @yohgaki

GHOST脆弱性の内容 blog.ohgaki.net/ghost-what-is-…... fb.me/1Lb7acGYV

2015-01-29 15:10:19
Yasuo Ohgaki (大垣靖男) @yohgaki

glibcのGHOST脆弱性の内容と検出 blog.ohgaki.net/ghost-what-is-… '0'を'\0'と読み間違えていたので修正しました。

2015-01-30 07:57:53
徳丸 浩 @ockeghem

『Eximは…入力バリデーションを行っていれば問題となりませんでした』<Eximはホスト名の文字種チェックはしているのでこの記述は不正確 / “GHOSTを使って攻撃できるケース | yohgaki's blog” htn.to/sXDsnp

2015-01-31 14:39:53
Shin Suzuki @suzukis

入力バリデーションが外部ライブラリの脆弱性の影響を防ぐ、が成り立つためには、入力バリデーションには外部ライブラリを使えない。言うまでも無くナンセンス。 / “GHOSTを使って攻撃できるケース | yohgaki's blog” htn.to/R9FeVs

2015-02-01 20:02:54
徳丸 浩 @ockeghem

日記書いた / “EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記” htn.to/3PXhqE

2015-02-03 10:10:43
リンク blog.tokumaru.org EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記
Yosuke HASEGAWA @hasegawayosuke

徳丸さんと大垣さん、おたがいにおたがいを刺激し合って相互に学びあうよい関係性。これぞ好敵手(と書いてライバルと読む

2015-02-03 10:29:23
kenjis @kenji_s

@ockeghem 質問ですが、数字とドットのみのホスト名というのはIPアドレスではないのでしょうか?

2015-02-03 10:36:31
徳丸 浩 @ockeghem

@kenji_s そこが私もよくわかっていないのですが、/etc/hosts で 00000000. など先頭か末尾にドットをつけるとホスト名として扱われるようです。RFC上では説明がみつけられませんでした

2015-02-03 10:38:24
kenjis @kenji_s

@tss_ontap @ockeghem 数字とドットの形式("#.#.#.#")のものはIPアドレスだということですよね

2015-02-03 11:13:53
kenjis @kenji_s

RFC1123 Requirements for Internet Hosts -- Application and Support 2.1 Host Names and Numbers > ow.ly/InToz

2015-02-03 11:39:16
いつみゆう@埼玉 @cubedl

5件のコメント b.hatena.ne.jp/entry/blog.tok… “EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記” htn.to/kfnD1q #セキュリティ

2015-02-03 11:51:35
shs_kz @s_hskz

1月31日 "@s_hskz: @s_hskz @ockeghem [get host by name]を忘れていますから、名前解決をする気がないのでしょう。"

2015-02-03 12:47:21
shs_kz @s_hskz

1月31日 "@ockeghem: @s_hskz そこは敢えて突っ込まなかったところでwww"

2015-02-03 12:47:52
shs_kz @s_hskz

敢えてつっこまなかった件、精緻な記事を準備していたからなのですね。

2015-02-03 12:48:50
徳丸 浩 @ockeghem

EximもDrupalも「バリデーションしていれいば攻撃は防げた」のに、両ソフトとも現時点ではバリデーション処理は追加しておらず、Drupalは脆弱性発生箇所での対処、Eximは回避策の紹介とglibcのアップデートで対処を推奨している、というところが興味深いところです

2015-02-03 13:35:23
徳丸 浩 @ockeghem

Drupal開発者たちの「余計なバリデーションは絶対しねーよ」という姿勢はとても共感するものですが、私はそこまで強硬派ではなくて、「そんな固いこと言わずにバリデーションしておけば…」と思います。つまり、大垣さんが挑むべき敵は僕なんかではなく、Drupalの開発者たちですねw

2015-02-03 13:40:02
1 ・・ 50 次へ

いま話題のタグ

グルメ12609 ハチワレ110 LANケーブル26 ネットスラング122 冷凍食品87 著作権2117 夫婦626 ファッション3703 おがくず150 バニーガーデン4 草津町104 ちいかわ400 電車3612 賞与18 飯山陽74