[plamo:13370] Re: zlib Security hole

[KOJIMA Mitsuhiro]

From: Tetsuya Ohnishi <oonishi@rarfaxp.riken.go.jp>
Subject: [plamo:13369] zlib Security hole
Date: Tue, 12 Mar 2002 22:48:11 +0900

> あちこちで報告されていますが、zlib に脆弱性が見つかったそうです。
> 
> http://www.zdnet.co.jp/news/0203/12/e_linux.html
> 
> 等参照。

これ，結構頭痛い問題ですね，，

> symbolic link されているプログラムなら新しいのに置き換えれば
> いいですが、static link されているものとなると、compile	しなおしや、
> patch を当てなどが必要ですね。
> 
> kernel に関してですが、zlib 対策をしてあるものが、
> 
> linux-2.2.21.rc1

うぐぅ，，kernel レベルでも zlib 使ってるんだっけ．．

> として配布されていました。
> #2.4 系はまだでした。
> #zlib は kernel においては、ppp に使われています。

あー，そう言えば，ppp はデータを圧縮して転送する機能があるんで，そのあ
たりは関わっていそうですね．

# BSD compression だっけ？

> 他に zlib を static link して使っていそうなのは、ssh とかですが、
> 他に何がありますかね？
> RedHat/Debian あたりをみると、vnc とか、rsync とか ppp が挙げられて
> いますが。

まだチェックしてないですが，zlib を使っているのは結構あちこちにありそ
うな気がします．gimp とかの画像処理系ものきなみ影響されるのでは．

要するに，ネットワークとか画像処理とか，保存や転送時にデータを圧縮した
いと思うようなアプリはかなりの部分 zlib を使ってる気がする．

まぁ，その手のアプリは shared library で zlib を使っているだろうから，
大元を対策済みのに入れ替えればほぼ大丈夫な気はしますが．．．

その意味で，zlib を static にリンクしているのっていうのは，2〜3 年前の
アプリで通信や画像処理をしているものあたりに限られるような気もしますね．

-------
こじま