2008年04月30日
| 釈然としない・・・ | (日常非日常) |
立場上、あまり公にこんなことは書きたくないのだか、どうにも釈然としないもやもやっとした気持ちがあるので敢えて・・・オフレコみたいなもんかな(笑
他でもないが、情報処理推進機構・セキュリティセンターが公表した Lhaplus の脆弱性についての報告だ。
「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起
疑問のひとつは、なぜ Lhaplus だけが?と言うこと。そしてもうひとつは・・・
実は Lhaplus の脆弱性の問題は今回が初めてではない。上記の報告にも言及されているが、過去にも二回同様の報告があり(2007/9/21と2007/11/22)、そのつど修正されている(この種の報告はベンダーが修正してから公表されることが多い。11/22のものは実際には10/13に報告があったものだし、今回のものは2/13の報告の分の、修正を待っての公開だ。9/21については情報がないのでわからない)。
今回の報告については、元々の脆弱性の報告が「(株)フォティーンフォティ技術研究所 鵜飼 裕司氏」によってなされたものであることが明記されている。
また、日経パソコン(オンライン)の記事によれば2007年9月の報告も鵜飼氏によるものだという。
さらにセキュリティセンターの報告を注意深く読めばわかるが、いずれも
Lhaplusは、電子ファイルのデータサイズを小さくすることなどを目的に、データを圧縮して保存したり、またその圧縮したデータを元のデータに戻したりする機能を持つソフトウェアの一つです。Lhaplusが対応する圧縮形式には、lzh形式やzip形式などがあります。Lhaplusには、ファイルの展開処理に問題があり、バッファオーバーフローというセキュリティ上の弱点(脆弱性)が存在します。
となっていて・・・つまりは三件とも鵜飼氏によるリサーチ&報告であることが類推される(あくまで類推の域を出ないけれど)。
何が釈然としないかと言うと、
1.そもそもなぜ Lhaplus なのか。というか、Lhaplus だけなのか?
2.三回それぞれ別の脆弱性だとワザワザ明記されているが、いずれもバッファオーバーフローと言う「古典的」な凡ミス(と言うか・・・これは後記)なのに、なぜ最初の報告の時に他もわからなかったのか?
3.経歴を見ると、鵜飼氏や彼の属する(株)フォティーンフォティ技術研究所は怪しげな会社ではなさそうなのだが、なぜにこれほどまでに Lhaplus に執着しているのか?
まず1.についてが最も謎だ。
そもそも、展開(解凍)処理の主要なコード部分と言うのは、Lhaplus 作者が独自に開発したものではなくて、LHA.EXE (またはその派生物)からの流用だ。この点に関しては、本家LHA.EXEはもちろん、lzh展開をするソフトのほとんどすべて(一部のzipや他の形式の展開も含む)と言っていいくらい、この流用コード物なので・・・
もちろん独自に脆弱性を修正したソフトもあるはずだから、すべてがすべてこの脆弱性を持っているとは言わない(われらの UNLHA32.DLL もMiccoさんが精力的に修正しているので、もう残っていないはず)。
Lhaplus は日経パソコンの勝村氏によれば「国内で広く使われている」とのことだが、それほど突出しているわけでもない。まぁ、多くのユーザがいるのは事実だろうが・・・他にも同様の脆弱性を抱えたままで広く使われているソフトも何種類かあるはず(めんどうなので調査なんかしないが:w)。
2.も、専門家が徹底調査したうえ、開発者が見直したのなら三回に分けて出て来ないと思うのだ。実際、同じ鵜飼氏による調査と見られる、ジャストシステム「一太郎ファミリー」における脆弱性と言う報告が1月7日に出ているが、こちらは一太郎、花子などを一括しての報告だ(鵜飼氏の指摘は一種だけだったのかも)。
逆に言うと、情報処理推進機構が公開している脆弱情報の中で、鵜飼氏の関与していると見られるのは Lhaplus とジャストの一件だけだ。だから、Lhaplusごとき(敢えてこう言い切るが:w)に、三回も執着している点が解せないのだ。
たまたまなのか?
鵜飼氏が Lhaplus ファン(想像にすぎませぬ)だから?
それとも???
なお、Lhaplus の最初の報告の後、フォティーンフォティ技術研究所は、情報処理推進機構が公募した何件かの調査研究案件に選ばれている・・・
注記:「バッファオーバーフロー」について。
要するにソフト内部に確保したバッファー領域のサイズを超えるようなデータが来た場合に、予想しないような部分が上書きされてしまうというバグの一種。これを防ぐには、その都度データのサイズがバッファーに収まるかどうか、サイズチェックすれば良いだけのこと。
上記では「凡ミス」と書いたし、2008年時点での常識から言えばバグであり、ソフト開発者の凡ミスと言い切ってもいいと思う。
ただ、歴史的なことを言えば、昔はメモリーも高価でプログラムサイズは1バイトでも減らしたい、と言う状況でもあった。そんな状況下で、いつ起こるかわからない(まず起こりえない)予想外の大きなデータのためにサイズチェックするコードと言うのは余計な物でもあった。だから、プログラムサイズを詰めるために、敢えて無視した(つまりチェックしないと言う)設計をするのは常でもあった。その時代には、敢えて抜いたのであれば、それは「凡ミス」でも「バグ」でもなく、むしろ・・・まぁ、それで褒められるってことはなかっただろうが、十分に理屈にあった設計ではあったわけだ。
元々のLHA.EXEも、そんな時代に生まれ育ったソフトだ。チェックコードが入っていなかったからと言って、設計者を責めるわけにはいかない。
投稿者 shoda T. : 2008年04月30日 00:19
トラックバック
このエントリーのトラックバックURL:
http://shoda.tk/MT/mt-tb.cgi/597
コメント
Lhaplusばかり何度も同じ脆弱性を報告しているのが釈然としないってのも分かりますが、どうして3度も指摘されるまで脆弱性が根絶できないのかって作者側のバグ修正の姿勢も釈然としないのかな〜とか...。
じゃぁ、お前はどうなんだ?って自問自答してみると、自分自身も怪しいコードを書いているかもしれないので。(^^ゞ
今回のニュースでは、「(圧縮/展開)エンジンを自アプリに持っているアプリケーションは、大変だな〜」と人ごとのように思います。
投稿者 新山(へろぱ) : 2008年04月30日 07:07
Lhaplus なんて、一度も使った事ないな。(^_^;)
投稿者 CYBORG : 2008年04月30日 09:42
物事には必ず両面があるわけで・・・
ま、でも「それじゃお前はどうなんだよ」っと突っ込まれると困るので、オフレコなんですけどね(苦笑
どっちにしても、Lhaplus は何かと「話題」の多いソフトではありますね。それでもなお人気がある(?)のは、単にベクターとかが「推奨ソフト」みたいな扱いで率先して紹介したりしてるからだとは思いますが・・・
投稿者 shoda T. : 2008年04月30日 12:59
え?とですね。 2回目の震源地は私です。(笑) 一応情報公開もしてあります:
http://www2.nsknet.or.jp/~micco/vul/2007/mhrvi20071122.htm
FFRでは脆弱性の研究をやっていたりもしますので,Lhaplusは格好の材料として研究対象に上っているのでしょうね。
Lhaplusが連続してしまっているのは,作者・調停者(IPA)共に『検証データで再現しない』点だけしか確認しないからです。FFRもそうですが,報告者には公開の連絡しか来ないので,報告者側での検証は行われません。もっとも,報告者=開発者とは限りませんので,仕方が無いとも言えます。
で,ARJの件は2006年に私がネタにして書いていたりしますし,LZHの件は2006年の1.52での脆弱性そのものです。今回のZOOの件なぞは最終的に辿り着く攻撃可能箇所が11/22のLZHと全く同じで笑えました。(笑) >FFRのページ参照
おそらく,全体に目を通している余裕がないのではないかと…。今回,時間が掛かったのも体の調子が一層悪くなっている点と無関係ではないでしょうから。まぁ,無理をしない程度に対応していただければ,それで構わないです。
投稿者 Micco : 2008年05月04日 19:36
コメントしてください
名前とメールアドレスは必須です。メールアドレスはブログ上には表示されません。私に届くだけです。 TypeKey ID のサイン・インも必須ではありません。持ってる方だけサイン・インすればいいです。
