[セキュリティ] zlib問題、どうやってfixした？
03/19/2002 05:13 (投稿者：たかの)

OpenSSHにzlibと、デカい穴が相次いで発覚してしまった。で、OpenSSHはガンバって入れ換えればいいとして（OpenSSL-0.9.6以上必須らしいのがちょっとしんどい）、問題はzlibだ。 あまりの影響範囲に絶句。さーて、どうすっぺ。

Kondara Projectの真プロジェクト日誌によれば、zlib.orgでzlib がリンクされているパッケージのリストと、find-zlibという、zlib利用プログラムの検索スクリプトも公開されているとのこと。 これ見て自分は、すっかり気が遠くなってしまった。特定のメジャーなdistroで統一してあれば、バイナリ配付を待って一気に上げればよさそうなものだが、なまじ手入れを繰り返してきたばっかりに、これを全部対策するのは正直無理。 とりあえずshared objectだけ入れ換えて、あとはrsyncにチョイとパッチして、soを使うように修正したくらいでお茶を濁してしまった。 X-TTでおなじみの塩崎さんによると、この問題をモロに食らっているのは主にLinuxの話らしくって、FreeBSDやNetBSDはそもそも影響を受けないらしい。とすると、Linuxでもglibcに手を入れて、多重freeを回避できるようになったりしないのかな。けど、そんなん出来てたらとっくの昔にやってるだろうし、だとしても既にstaticにlibcを抱えちゃってる奴もいるだろうから駄目か。うーん。 うまいやり方を知ってる人、いたら教えてくださいな。

メールでコメント

• Re: zlib問題、どうやってfixした？
  03/21/2002 14:47 (投稿者：Ransui)
  

  うを。間違えてReturnキー押してしまったです。 うちはSolarisを使っているわけですが、これを機会にSolarisのMU当ても面倒なんで、最新のSolaris8へのOSバージョンアップを敢行してしまいました。当然今までの /usr/local あたりの作業は全部ステ。 もっとも、KDE入れてみたり、GNOME入れてみたりで /usr/local 以下は Windowsの \Windows\System バリにグチャグチャになっていたので良い機会かと。 で、最新の zlib を入れて必要な物を ./configure, make, make install しましたです。 実作業時間で1日くらいでしょうかね。こう考えると日常的に使っているコマンドやプログラムって、想像以上に少ないものですな。 今回のインストールでは、できるだけStatic Linkしない方針でやってみたので、今度なんかあっても比較的スムーズに解決できるのではないかと淡い期待をしているわけです。