EximのGHOST脆弱性の影響とバリデーションの関係

追記(2015/2/6) 大垣さんから訂正依頼のコメントを頂いておりますので合わせてお読みください。徳丸としては特に訂正の必要は感じませんでしたので、本文はそのままにしています。そう思う理由はコメントとして追記いたしました。 (追記終わり) 大垣さんのブログエントリ「GHOSTを使って攻撃できるケース」を読んだところ、以下のようなことが書いてありました。 1. ユーザー入力のIPアドレス（ネットワーク層のIPアドレスではない）に攻撃用データを送る。 2. バリデーション無しで攻撃用の不正なIPアドレスをgethostbyname()に渡される。 3. ヒープオーバーフローでヒープ領域のメモリ管理用の空きサイズを改竄する。 【中略】 どんなソフトウェアが危ないのか？ ユーザー入力のIPアドレスをバリデーションしないでgethostbyname()を使用している。 インタラクティブな動作を行っ

[JULY]

大垣さんの元記事は読んでなかったんだけど、まさか gethostbyname の引数に IP アドレス、とか、SMTP の HELO に IP アドレス、と思っているとは思わなかった。それこそ「プログラマなら当然知っている」はず...。

[sho]

けっこう容赦なかったw

[akitsukada]

徳丸さんの何が良いって、やっぱり論理が通っていて読みやすい/理解しやすいです

[honeniq]

たまたま防御できる可能性を増やすために、穴の大きさは必要最小限にするのも一つのやり方やね。

[y-kawaz]

大垣流バリデーションｗ

[ockeghem]

日記書いた

[k-holy]

MTAとWebアプリケーションではRFCの重要度は違うし、バリデーションの要件も変わって当然。Webアプリケーションで文字列長の制限は必須でしょう

[deamu]

ホスト名の上限制限についてはRFCでのMUST、SHOULD、あと任意と、この辺りの匙加減をどうするか、の設計センスまで絡むお話でしょうか。ふーむ

[Kenji_s]

徳丸さん「EximはバリデーションしてたけどGHOSTを防げなかった。最大長253バイトチェックしてたとしてもオーバーフローした可能性がある。でもバリデーションはしておこう」なんかもやもやする...

[wkubota]

分かりやすい解説

[rryu]

そもそも攻撃の成功条件に「inet_atonを通れる」というのがあるのでIPアドレスとしては正しいものが来る訳で、バリデーションでは防げない例だと思う。

[T-miura]

もひもひ

[f99aq]

徳丸浩の日記: EximのGHOST脆弱性の影響とバリデーションの関係

[vanbraam]

良い校正

[wata88]

文字列長

[koyancya]

試合開始か

[SyncHack]

各々バリデーションは必要だけど本家も頑張ってくれよって話かな。C言語だと実働コードより長くなるしセンスが必要になるしチーム制だと漏れがあるだろうし大変だよね。もっと開発者に優しい言語を選ぼうよorz

[longroof]

バリデーションとは(´・ω・｀)

[smbd]

容赦ない大垣さんdisりw

[xxxxxeeeee]

わざわざ大垣さんの間違いを指摘する姿勢すごくかっこいいけど真似できない