fc2ブログ

7-zip32.dll Ver4.42.00.04

どでかい穴が空いてたので修正版です。
結構危険度高いので早急にバージョンアップ願います。
序に他にも少し修正。

セキュリティーホールの詳細はこちらをご覧下さい。
しかし、この穴の部分のコード今見るとやってる事が訳分からんですね。一体何を考えていたんだろうか当時の自分に問い詰めたい。何故そんな回りくどい事をして穴あけてんだと。
修正はifをwhileに変更するだけで済んだのですがアレでは他にも穴がある可能性があるのでその辺一新。コードも簡素になり処理速度もほんの僅か速くなってるかも。1msぐらい。

今回、JPCERT/CCより指摘を受けた訳ですが流石それを専門としてる所だけ有って
色々と秘密保持とか色々厳しかったですね。
詳細はPGP暗号化メールで連絡しますとか言われた時はどうしようかと思いましたよ。
メーラーはThunderbird使ってるのでPGP自体はプラグイン入れれば問題なかったんですが公開鍵をPGP公開サーバに登録してそのURLと鍵のフィンガープリント教えてくれと言われた時点で私の頭はオーバーフローしました。
で結局は面倒になって、「zipでくれ」とお願いして暗号化zipで詳細は貰いましたが。
その辺の経緯をまとめたら面白いと思うけど流石に不味いかな。

バージョンアップ、つまり情報公開日時も指定されたのでスクリプト組んで(と言ってもたった3行だけど)サーバのCRONジョブで指定時間にサイトの更新は自動で行うようにしておいたんだけどきちんと更新されてるか心配。もちろんこの記事もタイマー投稿でその時間に自動で公開されるよう書いてます。(前のエントリ書いたその後ですね)
もし、更新に失敗してたらアレなのでこちらからもダウンロードできる様リンク張っておきます。
もしサイトが更新されていなければこちらから落としてください。
7-zip32.dll Ver4.42.00.04 ダウンロード

【18時14分 追記修正】
上手く更新できてましたね。CRONジョブ面白いかも。
ダウンロード先のリンクは修正しておきました。そのページから落としてください。
【/18時14分 追記修正】

以下、今回の修正内容の詳細です。
2007/9/5 Ver4.42.00.04
・長いファイル名のファイルを含む書庫を操作するとオーバーフローが発生する
 セキュリティーホールを修正。
・SevenZipSetOwnerWindowEx() でコールバック関数が呼ばれないバグを修正。
・IE4.0以上がインストールされてない環境でも動作する様に修正(多分)。

コメントの投稿

非公開コメント

月別アーカイブ
カテゴリー
リンク
ブログ内検索
RSSフィード