[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-devel:11348] Re: nvi-m17n: nvi-m17n is insecure (Re: other vi type editors are safe?)
From: ASAZU Hideki <asa@xxxxxxxxxxxxxxxx>
Subject: [debian-devel:11347] Re: nvi-m17n: nvi-m17n is insecure (Re: other vi type editors are safe?)
Date: Wed, 12 Jan 2000 15:08:11 +0900
> > みづらいかもしれませんが、実際には2行追加するだけです。
> > # なぜこれでOKなのかは理解できてません。
> OKでないのではないでしょうか。
「入門bash」を年末に読んだのですが、それまでbashに文字列置換の機能が
あることを知りませんでした。今だに、ぱっとみて何をしているのか理解
できません。
実際にコマンドを1つずつ試しながらやると、確かに、まずいファイル名は
置き換えられました。なんかすてき。
> 例えば、/var/tmp/vi.recover (=$RECDIR)以下に、
> 'foo ../../../vmlinux'
> とかいう名前のファイルを作ることで、修正前と同じ問題を引き起こすのではな
> いでしょうか。
スラッシュを含むファイルを作成できれば、ですね。ですから、そういう問題は
ないはずです。
# UNIXでないファイルシステムだとどうなんだろう? そんなことはしないか。
> このバグの対処法については、
> http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20000105_vi
> 等にでています。
「セキュリティホール memo」、毎日みてます。(^_^;)
--
喜瀬“冬猫”浩@南国沖縄