[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[freewnn:00373] Re: patch for 1.1.0?



古川竜雄です。

元木さん>   1. FreeWnn-1.1.0(stable) に対するセキュリティホール対策パッ
元木さん>      チもしくは、新しいバージョン(FreeWnn-1.1.0.1?) のリリー
元木さん>      ス。

私> つぎは 1 を作ろうと思います。(ほんとはこの3連休でできるはずだった
私> のだが……)

というわけで、遅くなりましたが、FreeWnn-1.1.0 用のパッチを作りました。

1.1.1-aXX の Changelog でいうところの、以下のパッチが当たっています。

    * gets_cur と getws_cur で受け側の領域のサイズ以上に書き込まないよ
    うに修正。(buffer overflow 対策) ([freewnn:00361] 元木さんのパッチ)

    * mkdir() が無いと判定された場合に system() で /bin/mkdir を呼び出
    しているのを修正。(新規作成: Wnn/etc/mkdir.c)
    注意: mkdir() を持っていても以下の条件に当てはまらない場合は 
    mkdir() を持っていないと判定される。
    defined(BSD42) || defined(uniosu) || defined(UX386) || defined(DGUX)
    ([freewnn:00358] 元木さんのパッチ)

    * Wnn/etc/msg.c:msg_get() にてローカル変数のアドレスを返している部
    分があったので修正([freewnn:00024] 矢吹@SRAさんの指摘による)

    * Wnn/etc/msg.c (msg_open): msg_open() において libwnn.msg に 
    空行や不正な形式の行が存在していた場合に '\0' を無視してアク
    セスしてしまうバグを修正。([freewnn:00324]元木さんのパッチ、
    [freewnn:00350]高田さんのパッチ)

今回のパッチの目的は


    セキュリティホールを迅速に潰すことにある ← ぜんぜん迅速じゃないぞ


にあり、そのために必要最小限のものしか当てていません。FreeWnn 1.1 をソー
スからコンパイルして運用している人用という位置づけで行こうと思います。
というわけで、対応している OS は FreeWnn 1.1 と全く同じで以下の5つです。

	Solaris2.6
	Redhat Linux 5.2
	Debian GNU/Linux 2.0
	Slackware 3.6
	FreeBSD 3.1

他の OS で動かしたい人はとりあえず FreeWnn 1.1.1-aXX を使ってもらうと
いうことで…


んで、とりあえず、私の環境(Linux SlackWare)ではコンパイル/動作共に確認
しましたが、念のため他の環境で確認していただける方はいらっしゃいません
か?


begin 644 patch-1.1.0-a01.gz
M'XL(""U`WC@``W!A=&-H+3$N,2XP+6$P,0#M/-MVVT:2S^17M.7$)D50`GB3
M1(Y\K$B4HUB7'(F),^OX<"``%&%1``V`EI3$'[-[XGV9A_V!_8!YW,_8.;MO
M^P-;5=T--"Z\*/'<3D;GV""KJZNKNRY=5=V$[8Y&K#X+V&'@.*\\KVYL&!OZ
MYG>ANPG?-IW(VKP)KS:L='O=U(T\3KE>KR^C4SKQ/7;H7#*VS8RMKM'I-CO,
MV-G9*==JM54&(0(G9L`:6TPWNLU&U]AA#5W7R\^?LWK3V-:V6`T?ALZ>/R^S
M$H._R\`QKWOPQ1U5UFTS,MGN+GOZ^&E5M%N^%[G>S.F5-M?AR\V-XT5L?;-<
M+XW\H&)/V2ZC7CVV#E\>0=_OHZ<]9D]KM2KU`=:&KMV]<<+0O'*^][!SC17V
M?O*DB`B;3\0=L0KV0):_UX'G&C(=LURNP220",X/25S>1PZK[;(P"B:.!^-7
M98OE18A&"]72::%:S=_60E$[TWO*FEW:]6><(K28D>]6D(FJ6*=.B]9I"Y<+
MEREPKMPP<@)FC<V@M#XQO2L@\F,95R=IA+6?61$Q:IFP0I;=*]=I`:$7H$6O
MC<;V&V`)86%D1JZ5;4H3I,9U$B^08KP5A`34;9RP7BW;RTT9V'*]JW"I.<=X
M2TPZQDN9-5AENZNW5S7K-!'%M-M=HY68=JN-@H#_.R2'QZYG36:VP]90#7UO
M;&^,UU3PK><-.6EJ*-<?V\[(]1QV^LWQ<4G'-900-QR.S<EH>.O:T;AB54N5
M1P@;S2:3&%9-H:>:2I4*_,^>,/UN--+UZE)1"!XWD44_W!@O6*`LZ@*!9%$S
M,FGIW?;.*C(II).(1=>[S68BENV&MLUJ\+]P(XS-9C=L%CHA\[W)/:TV`_-F
MT=AAS<!F4S,P;QS4Z6"&YKL!?<!^6;GV&`SX$5]CN_+EWK?]X:N]HT$35UYM
M^>:[YG:GBNXA!EU\>]Y*0\;3V5T:LG?TW;=-18K)`#"RXX'(H$T\^8BRYV3F
MF9GQCEZ<[AV?]P??G)]>')T.EDK\[<2]W#PQKZ'_Q-EPO07+GT5=(/$L:FDP
M<[BD0$!&%X3>6,D*<W062GQ+;X$-UO`A9%YF;\,-GW7Q8;'29Y57IZ?]P?[%
M^7YU\])VK1QP>FOG8%=.-':]T`6G`[KP=K+A`[T)?*L!WOE)E7WVG#[N[U=9
MW6+PX?!X[\5%E3T_Z!]>/!>X939QO:A;1N+'*!G&GP+WLPJ,U9#`XZ,O+JJ\
MA]%=280XR+*%)$:6"`UQ4O;9P%4&=[>JM&("BK]L=EM;*7_9(7\IA+348<)&
M.7*OTL#?A9'M^AOC9T76>?+RX.@<=MG'N!4I'8`_WB,%OP\W;TTWXBW2WE+-
MT?W4";$=K0]&8A>_!\-NP-?T`-RG/Z-9-CK;%/$U.CL-L4/SO3'R(W,BMGK\
M&TW,*_Z5]N';,:AZ93V,,+Y`'U7]D6_&<0,`>$CAAK9[Y48$(Z!*GC_7&2QR
MC1&].GL*L0<&%A^8,PEANQCQ!@Q+:D^K$"L0X]M;'0WLM-;8WM8UPQ#.D[$/
M\=YNNX$'KO*U_@;[[@^/S_;W@$^&(=`^!&H0YAVX@6-%?G!/+E2XMM+)V4&?
M573^QWYB^-C:VJK"'JBXM2\N#EI@"C_]%$-FGNN'LRH/_VZN87S)`TS.8!HC
MPE5<,IW%2X'[A!,$?N#YNV#/7"V&AWM'QSV!`4'-+/`J=8,O"[#!Y9]BAPL[
M[6<E0_42Q3^7L]'K1KL#P5&]!&I@3>\K``*^UC8O76^3.&9K5=EL1KQ9G0,U
MPNQ`WR+G!MOY=&`V=>)U<UU\6#2M>FY:'$*1<#(_##BM\8UOJ\NHX2+20EAC
M_]9+-3%P@C/7KE0UQA>+%`*UB"M-L]$TM#:$HXU&4VNU8IV!"57N0!O?0F0"
MZCL4D?DP=***X[W7&#GVD6MK,FBO5E&G8!`2]M!V3'MHNR'X``\4BG=*6.`S
M994[`-0^Q/9;6^05,FVOC@[[WQT-^@?H,,06_`HA%X.]P3<7%0R"9V&502PE
M/\8!%7OVC&U7Y;"H_H]B<A3[9T?B^W-ZK$'__`3@RD#J.%NC''U)I'B$P=G7
M7Z<'0)`Z0,'L<D-P*H4CY%=+PI(I#(>Y:?%<8/Y2E6LBW8!-KUSC)E.9FM%8
M8Z"H3I5[0<R:P&7QK`-;1:I".,.('@`BGZFBFL%5^+K)$QL8@'&N,/5"`#C"
M1TA,#"*TJFZ(=NJ,SDZUY[5>W&1@4\P,@1H(0O=-H'@0B#>O6:4JQG'N'.L]
MJPCR&O6L4@?RS\+OP][$*D_$,L;D!(^/$HDPN=1H'!_BF'%9]!`ZP7LG6#4&
MS&,OBBCRV/E(L&FL%%L4D%H<##8:%`S"8X?<T6>5LR^^,B`:[_)@"SY2,)8+
MVU@J^OO#I1DZY`<_>\XV_#_P*-#VR9^!S\)H4/EFQ:%@+@[$0=8A2JO[%#&6
M88.9@HBZ7;;!/V&$L"&!J\K-=A8'?@K:"I)"M-)AX,*ZWC.,^CI=?:O;:CQ$
M1$1CH6S:K1W-V&$U?+;;))W-]3K]4<(%W]9+Z[AGO?==NUR'S2<<6K.@8DUA
MR\V4'JPIV`3_6*Y)3(8;Z,@)-,:?P]#](7$AA,P;I/O`=G`?"C853Y20K`(C
MP?QW<2NTB)MJE=>`**JJQ715I\+I82CS*,^(,&'A)1!V">1COA!`0[-*O:[T
MQD"DLGZI<,)45CCM2RPAQ7P`=KI9Q)00&"`=;)`+(8=4:"M]2P+M`Z<M9B!9
M1J]3KN>%=ULDO=NA(C_HP]G!G4"VD#AOE\M3XO\:B384B>I<G#'9OZI`&ZI`
M]90TDWV$RU,O%*:^1)+Z:F(D&_SXQX__^_'_/O[I7__]XW]\_//'GS_^&W[[
M^8\__[GQ\;_@ZY_^\[]__A\2]LK>:CB&B,X)%M:6"K!7\ETQ=H$+:S[,A26D
M%GJR1J.#52;^X'Z,D4=&/^;<@9Y[#,T`@).A-7$AP*W@]IQN@J07-A`/6^IJ
M2^SW"AINXY:::.':JO:1+5*34]TD#Q@-)0:0@[?FP"T)IV5H-6D9Z('+H#(+
ML?^U.YD0#5P>-X10R1H7+9)/"8+IV44SYAD$;L6Y5N=N"IW2"+EE6=1<1"#%
M&B5<0S"4>!H^I"76$/*1@HG`E+'1M&DBJ]I&LC`K:&B,O(IEQ,B_VC`22HMW
M>"J^MANB)IY2'M`;,(4I'A;4YTJO7J:5+*=THBQ*%$V]J36!?E,WM$Z3'Q(A
M$F3ED%N[P%C@SR)(360%-]F*E%&FU>PI1B:22'`_73@1FR<>?M4Q/YZ*,@IE
M^DI2B\V0L>=79\JW)[$3[;+%,4_QYK4N>Z>B@OS^)2!9'N8-Q0,`OM@%?.=B
M-W7!5QOC%X9PA(\9VNO#H^/^Z=Y)_XVHMV4X>B?`>,S(C_@VGU()1I1U*"$5
MU@`V'J`4-]=E58=:P3/6G\T`A:91[<GRBXJSMIFJ!O$T=UI5ZD=3C1)2);!\
MEPKHN/P$@YDX()\=R\5!V'#B>((4_DD0DP>SK*+.C]5B,!\3(8V8+C(34WA6
M)*I"O9(#PZ`WYF3B6PF5:HJVFI;/)\773)8+TN*!V#)!6BRCFHHHJ7%1%3:)
M!>EEV9"**R4HVT?@7WG?N(3&M0U/F=_M3GL@9(CTJDPHX3M6WVWT$I1>CU01
M=?.=%+T\&:^7UM_!1A`'\S@FGFY5WB4AJ"#/V2&N<0229HS>ZV6UB?3M75K5
M*"CE`\O84QU=S`UKEFPT#<#KCRIA!/%4H*W%!K[[>?B]MZ;1+0!>`)H3B9(_
M67435;?E%?8S!7V5C51!SYR2&'JWO=J9UCQ:<S?3SC9NIO2_K*O"1N?LIJ(S
M,H[;/&R<`9(R);O0;0'(D!JMP#2&I>:O]RXN7AT,P8,6H!@%.,)FWZLLE/"Z
M!<"8&[+(9Q`D,3=B9H@P)P@=B!`MNKM!G?G_%'X9E3415769X]J[G]O:B#_&
M_+FF`1AA!'A`Y,5%X?D/T1G$7EUE$/M7!U\*J84*8S2QZ%7C#U(9G@&4[OT;
M]S5(YL7@R]^?G1R]T=BUZ;V5H)=[IU\A3%3B4U`A2I*%]][E84<L41`H0/&B
M"HJMQ+E,JUTI23Z0BPR(V,C`Y(%`+W$Y:1H:2Z92C$5D)1I-I!A/#)7%9"4Z
M^$T;%<)L/V-H)7!<L":W?F!3U(]KI#&^#AKCS`IFB"0];#\Y]>!YE$&W>6I&
M?*F'_"_$S%Y\M88\QB[\>YUP\":QX?02UY8NFCC1+.V?G7[;/Q\,1X%_,QR<
M?<T'N^"Q2,`["J+L,5:G.;\[.\0O/9(CSOFJ@7]\5=(:]#?BO]'@9[3TD.N]
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MSOP@;`?O0M3@(;94,I3H9CI,#O]QT4H8PV`)(B.)4APIB3X$E/U)?\XN!K#\
M=3I-I#@:ZTQ1,/,LO%%Q><\4+(J8<S0U%84V*Y%-4KXS]L-HR/55Y6$I8_W3
M;Z56+V%.P5S$H(*68S).RE0FA=E#`'CD@1M#',@>GO,$`KJQ^C.6=$Q/EKH#
MKR?^>\?&@--S;D4I%C(XQS)G&'(JY5EVZTXFT,(LR$P=FV]T!EWR-(RF,,:W
M,"UQ)0'+4MQK2C5(B@KH*>]Z:MV'Y[?)5XU!)S+BNUVD:!`&6=[=[BZZBY3'
M$SX.[^*`\^/J=1='#RT>/<@+1^+R;YJY3+CO5;.1O,(2]P`C"%701(:7][R2
MX]%!`O*&2N#<P5QYX!>SE+TCLKJCB`]25[/<Y-QU)8<1HW\"IY&F-==QM.@<
MNI7<0UTO'?CLQ<2_-"?L$$]H1'USP773O^2%-A6.%PBR8'G/C@[54?UK6UNB
MK`O;&%V%*/%3VT]TRTL%B2NU"N3@Q3??5:D"GQVNI0[7-*JTF@5X*;::3<3#
M_4[<&8;Y;;>E_125#:5-\S`(C%/>Y>,?P4[&(,P)KV)GSBWBDEX>K#$YA(@<
MP/"(HC"T>5[@;I??AZ-JFKP(Q_W!3D=KME@-@G,NKL1CZ&2>J>@):RWQ];>5
M+\"E8`7WG[FT1$48?";G%2"%2POK%5^G,_1&BR"XRB,(B\1'R/#Q=*".'U9<
M;BJS$SJM)9OC47GQG6-71DC<GSJ>7-BSX?G!V>GQ[R$8?2:OY5D3/W0`E7;,
MQ=?R4N=']5*ZQ+_XRB!3KPP2-W).^;N"1([?[".E$E?ZZFG1US.BKR>BIX/?
MDFE93AB269/H9%$!=Q==QJ,D#I-?N&)I03`.SQ2>?K$MB%NWK\Z/!OWA_I?]
M_9<4?SG6]?#2M*YG4TF,<CJ#\[D=\RGV/T7/T+[FYG=91KT"+KV<N<8+3$CH
M2*%C@9E1<M+$*++6-%HBF.3K!^/OSN6*L5&Z.<?GR)/`))NLIF*/\=0,PUN[
M8#XC,2&1ODB,A)#&T"#3L8L@5UCVDV$#,"V2APJ?"Y;GJCRP0>?\WIPH677N
M;NOAT<&P?WY^=B[K3RNF?[`7X'Y;:VZUD]]_Q.DMS$?ZER1`XI-YG9[+&XV-
MBQMZ2TH=,LK*"RB;\><KL%)*:;`JO0+:>0%F!U)DF!]N:8%WD;3A#T.*;%X:
M1Y#4"!X*NY[WOQT>'.T/<)_@LFI2(:)E&$L2W8(R#,^B?U6I!7G:/SLYZ9\.
M<GE[@0J[<Q4XMP,HRDMGXGR>[7B><21!84IJIK_(&R6R%_$#9!"$-/%-&S9C
M\$?L=[!+)+Y*7*2FVZ:Y=*+#?XG9,=J)7-0`/QL_+,YR\@S"/A,XIDU7P$O"
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MP3?\9ZC7S5!OU@FEEX4":A',Z!7<50?R/7$UD`_+Q+@,!\;_Z.J3QI`'QIF0
MQ\V%O.0:TR-E6\4M+CE.`48RI;E-1O):B/7\^78F?H:A\K%S:K+2DR/I_/43
M&C`-_L`%W*9:HM%N*<>/R>&V`T%@?*!JTS6Q.VM\Q>K,Z,5["8"Y.N$YZ&RJ
MLA_KQ9-$,9Z@5)Z05-100DKRB2K*PW]Y.3S6&'5AL@^-"Y\;15LX.HFD8,>R
M9Y48"]#^*,_W&CJE`XTD1OP'68"'3)25U*R\T:8CS49[^S<SY:;.W_NC[_QV
MIMSF1^\=_3<QY14W:==S(_J\TAZM8*^P12O8V1T:-M8'_;XR2VK^+U\,[KZ,
MU/41^EW5"!,->E>1UFAWM-&4\9_FB[<9L)(WN\';QJ%E>B..M_9YR#X/US0+
M8D`-<S&&EV#Y:PZP_'TSK5`36\.2`2*L\;`4JTA$;I<UXI_*!_2C<6=DSB8\
M5:2B+*K&@N;XU+/T(;Z_BG\C4>6?ROIR<UMKZC!S?/*I\^,O)0:NYX?P(!SA
M6SM>OLZU?ZK;[ER1\<B$UT/(:G)7\>,4N[BFP7]S)G]?L.KE_YJT(?$[@SCT
MB6\20[I'=X%9A6X!$['(]]G$]ZXV&#_-SUVJ3G[D7S<2*`3)(LC.32&^J*Z>
M8,?U&7I)Q:D/R84?X"LJJ">_H"\N*J_UT>A)2USO2K)%Z[(8)1FVE'JQA*),
MP`NO5IP-AN?]O0,T"TRLJ?)B3I#@/9%5?4PA&9P312%#O,\PPG<SQ.DY$O-\
M2*@"YZ\W/5G?R)7PZ.T@0M_$29>"Q:]ZQ`HI.3A/QH[8(8GX<YMSJC%^N;>V
MB&!:BY93E2K-2<M%)C,E\WV2C"!J99]V194)!,YH:/DS+T)ATJXS,MW)7(4@
MG[3%[S%NM[5/^JJ9^)>_/_[%7CFS8/NT'O""JD+<.5MG(6[VQ02MKK[TI4?%
MA-+;9JN!/Y]/7DO0X:\EZ#3FOJ-JO_`E52HT?DN5"KSZ.WY-E?6P-TW,0U\H
MS^7OF@"1+JU6S*65>:753E=7WNYI8!@$8J6G?-W$X.R+KU[T!W0ME+]U8@"+
M%T.*7SX!2-0,,CDZ[=-WD/'QWND+@%39QM_E^RBN'V"HA;AS!%N(FY=J>WN9
M5(L)90RUV6VJAMHFB>)CGJ&^+#34ET6&^O(?Q%"O'V:H\]`7RG.YH;8AV5A-
DI$L-M059B_+N.<.`G1(-%9\/?R^,*L:_F2'^/QNG62L:60``
`
end

-- 
古川竜雄 (frkwtto@osk3.3web.ne.jp) / FreeWnn Project