【IT】「Winny(ウィニー)」にバッファ・オーバーフローのセキュリティ・ホールが見つかる [06/04/21]

このエントリーをはてなブックマークに追加
1本多工務店φ ★
JVN(Japan Vendor Status Notes)は4月21日,
ファイル共有ソフト「Winny(ウィニー)」にバッファ・オーバーフローのセキュリティ・ホールが見つかったことを明らかにした。
細工が施されたデータを送信されると,Winnyが異常終了する可能性がある。
情報処理推進機構(IPA)では,「Winny利用の中止」を回避策として挙げている。

セキュリティ・ホールが確認されているのは,Winny 2.0 b7.1およびそれ以前のバージョン。
発見者は,米eEye Digital Securityの鵜飼裕司氏。
同氏が「情報セキュリティ早期警戒パートナーシップ」に基づいてIPAに報告し,
JPCERTコーディネーションセンター(JPCERT/CC)が製品開発者と調整を行なった。

JVNのサイトに掲載されている開発者のコメントによれば,
同氏自身はWinnyのアップデートおよびセキュリティ・ホールの具体的な検証が困難な状況にあるという。

また,一般的にバッファ・オーバーフローのセキュリティ・ホールを悪用すれば,
遠隔地(リモート)から任意のプログラムを実行させることが可能となる場合が多いが,
開発者は「Winnyは様々な部分でチェックをしているので,
私としては,仮にバッファ・オーバーフローの脆弱性への攻撃を想定した場合でも,
これによりあらゆる任意のコードが実行可能という訳では無いと判断しております」とコメントしている。

セキュリティ・ホールの影響を受けないための対策は,Winnyの利用を中止すること。
IPAは公開情報の中で,「開発者による修正方法は公表されていませんので,回避方法は『Winny利用の中止』となります」としている。

ソース:nikkeibp/ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20060421/235941/
ソースのソース:
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html
http://jvn.jp/jp/JVN%2374294680/index.html
http://jvn.jp/jp/JVN%2374294680/182914/index.html
2名刺は切らしておりまして:2006/04/21(金) 22:48:08 ID:AhR19hyz
何でかって言うと、この前のアイフルの営業停止を見れば分かるように、
すべてはコイズミ内閣が国民を騙すためにやってる茶番劇だからだ。アイ
フルが摘発されて、営業停止処分を受けた時に、多くの国民は、「なんで
他のサラ金は摘発されないの?」って思ったハズだ。だけど、その答えは、
あまりにも簡単なことなのだ。アイフル以外のサラ金は、すべて銀行をバ
ックにしてる。だけど、アイフルだけは、完全独立性をモットーにして経
営してるから、バックに銀行はいない。つまり、アイフルを摘発しても、
銀行にはダメージが無いけど、他のサラ金を摘発しちゃうと、色んな銀行
に大きなダメージがあるってことだ。そうなれば、コイズミ内閣が必至に
アピールし続けてる「景気は良くなった」って言う虚空のイメージが保て
なくなるのだ。

‥‥そんなワケで、レギュラーガソリンが、1リットル140円近くもし
て、まるで第二次オイルショックの時みたいにバカ高くて、クリーニング
屋さんや運送屋さんや下町の工場がバタバタと倒産してんのに、何が「景
気は良くなった」だよ! ホントに景気が良くなったって言うんなら、アイ
フルだけじゃなくて、アイフルの何倍も酷い取り立てをやってる他のサラ
金も摘発してるハズだろう。結局は、銀行にダメージを与えるような摘発
ができないんだから、この国の経済は、くまきりあさ美と同じでガケップ
チ状態だってことじゃん。悪質なサラ金の摘発にまで、コイズミ内閣のイ
メージを悪くしないようにと、シッカリと根回しがされてるなんて、あま
りにも呆れ果てちゃって、とても現実の出来事とは思えない。コイズミの
やってることって、現実と言うよりも、まるで実写版の4コマ漫画を見て
るような気がして来る今日この頃なのだ。

http://www3.diary.ne.jp/logdisp.cgi?user=338790&log=20060420
3名刺は切らしておりまして:2006/04/21(金) 22:49:01 ID:pCAaDig9


4名刺は切らしておりまして:2006/04/21(金) 22:49:35 ID:dd77CVdS
マスコミが煽っても
何も変わらない
5名刺は切らしておりまして:2006/04/21(金) 22:50:02 ID:yf8W1W6k
パッチはどこで配布されていますか?
6名刺は切らしておりまして:2006/04/21(金) 22:51:03 ID:Zs5tqQzc
パッチを作らないようにって言われてるような気ガス
7名刺は切らしておりまして:2006/04/21(金) 22:51:42 ID:62hi1uRg
これ ニュー速+ に 立ってたが、

ここでも 立てる必要あるのか?
8名刺は切らしておりまして:2006/04/21(金) 22:52:46 ID:dd77CVdS
むこうでも議論は終わっちゃってるな

【Winny】"回避策は「利用の中止」のみ" ウィニーにバッファオーバーフローの脆弱性
http://news19.2ch.net/test/read.cgi/newsplus/1145610629/
9 ◆U2PL4Eu0f. :2006/04/21(金) 22:53:04 ID:K3h9OENQ
>開発者は「Winnyは様々な部分でチェックをしているので,
>私としては,仮にバッファ・オーバーフローの脆弱性への攻撃を想定した場合でも,
>これによりあらゆる任意のコードが実行可能という訳では無いと判断しております」とコメントしている。
>
>セキュリティ・ホールの影響を受けないための対策は,Winnyの利用を中止すること。




Winnyの利用を中止した方がいい、って言い分も分かる。
でも、winnyが異常終了するから、それを回避するために
winnyを使わない、ってのはおかしいんじゃないだろうか。
それはそれ。これはこれ。
10名刺は切らしておりまして:2006/04/21(金) 22:53:36 ID:vLT+Os4U
そう、何も変わらない
11名刺は切らしておりまして:2006/04/21(金) 23:01:54 ID:KAaS0N3v
竹島はともかく、おれのエロ画像だけは断固として守り抜くぞ。
12名無しさん@恐縮です:2006/04/21(金) 23:02:25 ID:5e37pfIK
見つかるって、もうずいぶん前から漏洩してるし
13名刺は切らしておりまして:2006/04/21(金) 23:04:03 ID:l2+pyAXc
7の空白が気になる
14名刺は切らしておりまして:2006/04/21(金) 23:06:04 ID:HJfg/Hs0
パッチ作るなよ。絶対作るなよ。
15名刺は切らしておりまして:2006/04/21(金) 23:06:18 ID:w4jliGfm
停止させるなら警告ポートだしまくれば止まるよ
16名刺は切らしておりまして:2006/04/21(金) 23:11:38 ID:2BzOsDq0
有名になる見つかるwwお約束だなww
17名刺は切らしておりまして:2006/04/21(金) 23:11:50 ID:Y8H8CZxY
え?前から普通に無かったっけ
18名刺は切らしておりまして:2006/04/21(金) 23:14:20 ID:azYyfkp/
どんなセキュリティホールか具体的に書いてないけど
これでウィルスが出回ったら犯人は鵜飼裕司って事になるな。
19名刺は切らしておりまして:2006/04/21(金) 23:15:14 ID:xPAPVo6M
問題視するレベルか?
20名刺は切らしておりまして:2006/04/21(金) 23:17:12 ID:wQ3kcawl
セロリン使ってたり、まだWin2000以前の古いOS使ってたら問題じゃね
21名刺は切らしておりまして:2006/04/21(金) 23:17:34 ID:HVEJE6Id
誰かがパッチかトラッパ作るだろ
22名刺は切らしておりまして:2006/04/21(金) 23:19:04 ID:YC5+XKEA

>一方、A.D.200X 実行委員は、今後のカンファレンス活動のいっさいを
>無期限に取りやめると宣言している。代表の鵜飼裕司氏は話す。

きなくさーー!!  ミイラ取りがミイラかも・・

23名刺は切らしておりまして:2006/04/21(金) 23:26:32 ID:ljpTtOp8
もう開発者が修正パッチを作ることもないだろうから洒落に乗り換えるが吉だな。というか何故そこまでnyにこだわるのか理由が判らん
24名刺は切らしておりまして:2006/04/21(金) 23:28:45 ID:6FH/aHNZ
全部がばれたか...
軍部の情報流失
警察の情報流失
そして警官、自衛官の
個人情報
これで中国による
工作の準備は整いました
もう機密を持った者への
攻撃は始まっています。
これで中国にはむこう
50年戦争で勝てません。
    報告以上
25名刺は切らしておりまして:2006/04/21(金) 23:42:02 ID:xvQ7B+DV
会社が受注したシステムに自分しか知らないバックドアをしかけるのは楽しいよな
26名刺は切らしておりまして:2006/04/21(金) 23:49:23 ID:xPAPVo6M
てかこれってブラフじゃねーか?ny使わせないための
27名刺は切らしておりまして:2006/04/22(土) 00:07:58 ID:2zpSmlEV
>>26はバトーくずれ
28名刺は切らしておりまして:2006/04/22(土) 00:46:43 ID:AReSzTO4
影響を受けるのは配布元の直下だけと違うか?
不正データを受けた時点で落ちるなら、その不正データが次に波及しなくなるもん
29名刺は切らしておりまして:2006/04/22(土) 00:50:30 ID:0rHKc5wq
>>28
いまのところ発見公表されてるのは落ちる脆弱性だけだけど、
それがすべてでないとしたらえらいこっちゃ、ということで。
30名刺は切らしておりまして:2006/04/22(土) 01:27:05 ID:cRFYuQBS
マスゴミに踊らされて共有ソフトに手を出すような一般人は
ny自体のバグやウイルスにやられてしまえ、っていうメッセージなのかね
31名刺は切らしておりまして:2006/04/22(土) 01:36:32 ID:3YItnUaN
winnyで公官庁の汚職が発覚するくらいだから、少なくとも国の会計監査より優秀だ。
当該ソフト導入は企業の透明性を示す最適な指標になるね。まるでISOみたい。
32名刺は切らしておりまして:2006/04/22(土) 01:40:43 ID:inbco3On
>Winnyは様々な部分でチェックをしているので
ってIEなんかより遥かに優れたセキュリティじゃん。
33名刺は切らしておりまして:2006/04/22(土) 01:46:15 ID:0rHKc5wq
Webブラウザは色々物騒なもの積んでるから。スクリプトエンジンとか。
34名刺は切らしておりまして:2006/04/22(土) 01:58:13 ID:3uX8TrbB
対策の打ち様がないのに脆弱性がある事を発表するのって、
かなり悪質だな
35名刺は切らしておりまして:2006/04/22(土) 01:58:59 ID:4LidxjdR
Winny使うのやめろっていう恫喝ですから、対策があっても言わないでしょうw
36名刺は切らしておりまして:2006/04/22(土) 02:32:48 ID:AReSzTO4
もしかしたらnyには「バルス!」が仕込んであるのかもしれない
37名刺は切らしておりまして:2006/04/22(土) 03:56:44 ID:P6YD6t/W
また京都県警か
38名刺は切らしておりまして:2006/04/22(土) 04:09:43 ID:n+FOsI2K
>Winnyは様々な部分でチェックをしているので

これは嘘か、それとも金子氏が無知か。

逆コンパイルしたソースを見た第一印象は、
外部に公開する鯖プログラムとしては、あまりにチェックが無さ過ぎる
ということだった。
39名刺は切らしておりまして:2006/04/22(土) 06:08:56 ID:65zkpH8r
>>2
アイ http://www.ir-aiful.com/japanese/shareholder04.html
http://www.takefuji.co.jp/corp/fncldt/pdf/vp38.pdf
プロ http://www.promise.co.jp/ir/stock.html

本当っぽい
40名刺は切らしておりまして:2006/04/22(土) 06:30:10 ID:XmewqtNm
>>38
それ、他でも言われてたな。
41名刺は切らしておりまして:2006/04/22(土) 07:01:52 ID:jDrclbzd
P2P厨が慌てるの見るのは楽しいねえ。
42名刺は切らしておりまして:2006/04/22(土) 07:05:37 ID:oyLno9HX
公務員が仕事中に使ってないなら問題無し

43名刺は切らしておりまして:2006/04/22(土) 07:23:31 ID:+odZJ+sj
新ウィルス登場、感染大爆発の予感

「yUkaiウィルス」「ウカイ・オルタナティブ」
44名刺は切らしておりまして:2006/04/22(土) 07:26:11 ID:+O68/4qD
         ハ,,ハ  
        ('(゚∀゚∩_ おいらをどこかのスレに送って!
      /ヽ   〈/\ お別れの時にはお土産を持たせてね!
     /| ̄ ̄ ̄|.\/
       | .モツ煮..|/
        ̄ ̄ ̄
現在の所持品:たばこ・ライター・コーヒー・ブラックブラック・枕・ケータイ電話
睡眠薬・聖教新聞 ・ダッチワイフ・外付けSCSI340MHDD・ネットランナー4月号
TYG02・小嶋進社長・ゲルトモ・ディプスファンタジア・抵抗1kΩ(黄紫橙金)・媚薬
バーボン・リップクリーム・セガサターン・バールのような物・バイブ・50インチ液晶TV
ボンカレー(甘口)・ジローラモ・エースヘルム・MAR全巻セット・切断済みの亀頭
東京タワーのミニチュアキーホルダー ・無償の愛・おっぱいプリン・イオナ・電話代の請求書・ウナコーワ
NHKの請求書・かりんとう(黒糖)・新庄・コロッケそば・『森の生活』・ベルディ君・ミアキスタソ・(`〜´)・
脱ぎたておパンティ・ロープ・ものみの塔・強力わかもと・おじいちゃん・夢と希望・田中
めかぶ・RPG7・わかめ・ドモホル ・ウィニー
45名刺は切らしておりまして:2006/04/22(土) 09:14:01 ID:tTvPuypr
ビットトレントありゃウィニーなんて(゚听)イラネ
46名刺は切らしておりまして:2006/04/22(土) 10:40:29 ID:b5E4UZJZ BE:87237959-
>>44
適当に送った。
47名刺は切らしておりまして:2006/04/22(土) 12:00:51 ID:yug6kQ46
>>JPCERTコーディネーションセンター(JPCERT/CC)が製品開発者と調整を行なった。
製品?
48名刺は切らしておりまして:2006/04/22(土) 14:15:10 ID:n+FOsI2K
> 開発者は「Winnyは様々な部分でチェックをしているので,
> 私としては,仮にバッファ・オーバーフローの脆弱性への攻撃を想定した場合でも,
> これによりあらゆる任意のコードが実行可能という訳では無いと判断しております」とコメントしている。

と言っているが、
ttp://www.eeye.com/html/research/advisories/AD20060421.html
によると、任意のコードを実行可能ってことだな。

strcpyを使っているWinny作者は、
セキュリティに関する技術力は初心者クラスなわけで、
Winny作者の「判断」なんてあてにならん。
49名刺は切らしておりまして:2006/04/22(土) 14:26:04 ID:3YItnUaN
もともとお遊びの延長で作ったソフトなのに、更新もさせず、
で、完璧なセキュリティ要求してるあたり、もうね。
50名刺は切らしておりまして:2006/04/22(土) 14:37:06 ID:4vwmQ+cu
今回はGJだな。マスコミでみんな始めたから正直ウザかった。これでみんなやめてくれれば
51名刺は切らしておりまして:2006/04/22(土) 15:04:00 ID:o/q6J6Bf
こどもが鬼の首とったようなニュースだな。
52名刺は切らしておりまして:2006/04/22(土) 15:05:46 ID:sVYBrHBN
早く、winny3を開発してくれよ。
53名刺は切らしておりまして:2006/04/22(土) 15:10:07 ID:Wb16FL/5
バッファ・オーバーフローが怖くてWinnyやめるくらいなら、最初からやるな。
54名刺は切らしておりまして:2006/04/22(土) 15:13:55 ID:3YItnUaN
この件はNHKでもFAでてるよね、nyやるなら専用PCで。
55名刺は切らしておりまして:2006/04/22(土) 15:41:33 ID:n+FOsI2K
甘い。

専用PCだけではダメだ。
ネットワークも隔離しないと。
56名刺は切らしておりまして:2006/04/22(土) 16:42:29 ID:G0iTEmH5
DELLがWinnyプリインストール済みの専用PCを売り出すと神だな。
57名刺は切らしておりまして:2006/04/22(土) 17:50:22 ID:n+FOsI2K
これでWinnyユーザが激減すると、Winny対策関連で稼いでいる会社の食いぶちが減るなぁ。
58名刺は切らしておりまして:2006/04/22(土) 17:55:12 ID:G0iTEmH5
警備会社、鍵屋、防犯グッズ会社、アンチウィルスソフト会社・・・
悪い人間がいることで成り立っている会社は多いよ。
59名刺は切らしておりまして:2006/04/22(土) 17:59:43 ID:4LidxjdR
>>57
いましばらく狼が出たといっておけばいい
60名刺は切らしておりまして:2006/04/23(日) 01:33:41 ID:Qk3FEk/q
今回の問題は、以前から指摘されてた。

でも、指摘する人がいても↓のスレのように、否定されてた
http://pc8.2ch.net/test/read.cgi/tech/1131249033/
61名刺は切らしておりまして:2006/04/23(日) 02:39:19 ID:xVIbu2Pu
  | Winnyは全然悪くない!!!
  | 凡人にこのソフトウェアの素晴らしさは理解できん!
  | 今の時代47氏のような人材が必要なんだよ!!馬鹿!
  \___________ ___________
                       ∨ カタカタ____ ____
                  ∧_∧   ||\   .\  |◎ |
                   ( #`Д´)  ||  | ̄ ̄|  |:[].|
           ∧_∧ . ┌(   つ/ ̄l| / ̄ ̄/ ..| =|
   ∧_∧   ( TДT) |└ ヽ |二二二」二二二二二二二二」
  ( TДT)  (  つつ   ̄]||__)   | ||       | ||
  (つ  つ  /  / /  ./ ̄\  / ||       / ||
  と_)_)  (___)__)  ◎    ◎ .[___||     .[___||
            ∧
   / ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   | 情報また漏れてますYO〜
   | 本当に良く頑張った・・・もう充分だYO〜
62名刺は切らしておりまして:2006/04/23(日) 03:00:28 ID:L2w4nuWD
大騒ぎだけど、今回はどんな情報が漏洩したのかな?
楽しみw
63名刺は切らしておりまして:2006/04/24(月) 08:03:14 ID:W/GMLdbm
ダウソ板にて、修正パッチが作られた。

Winnyの使用をやめるしかない、とは言えなくなったな。
64名刺は切らしておりまして:2006/04/25(火) 21:01:58 ID:PAqUgRuf
俺のMEちゃんでnyしてるとセキュリチーホールとやらに関係なくしょっちゅう落ちますアイゴー
65名刺は切らしておりまして
Winny関連2ちゃんリンクスレ

PC初心者                         ←Winny以前にPC苦手な人
ttp://pc7.2ch.net/pcqa/  

【新品】低価格・激安ノートパソコンを語ろーPart26     ←Winny専用PCに必要
ttp://pc7.2ch.net/test/read.cgi/notepc/1143879041/
低価格・激安格安PC(新品)part34
ttp://pc7.2ch.net/test/read.cgi/pc/1144756103/
  
無線LAN機器のお勧めは? 〜Part 21〜        ←Winny専用PCに必要
ttp://pc8.2ch.net/test/read.cgi/hard/1141307776/ (家族共用PCでなくて個人用PCを別々に使える)
無線LANの質問スレ 6問目               (息子用PC・母用PC・姉用PC・Winny用等)
ttp://pc8.2ch.net/test/read.cgi/hard/1139413935/ (一世帯の一回線で複数のパソコンでネットできます)

光ファイバー・FTTHならどこ?3            ←高速でWinny
ttp://pc8.2ch.net/test/read.cgi/isp/1109343135/