Mailinglist Archive: opensuse-ja (32 mails)

[Satoru Matsumoto <helios_reds@xxxxxxx>]

松本です。

ちょっとだけ検証が進展したのでご報告を。



Satoru Matsumoto さんは書きました:

> http://www.suse.de/~meissner/cve/CVE-2008-1671.html
>
> 要約すると、「ローカルユーザから DoS 攻撃や、start_kdeinit の際他のプロ
> セスに SIGUSR1 シグナルを送ってしまえる不正なコードが実行できるかもしれ
> ない"穴"があったので修正しました」ということのようで、私が遭遇している現
> 象に深く関連しているような気が…。実際、現象が確認できている仕事場ノート
> の kdelibs3 回りのバージョンを確認してみると上記の情報で「Fixed package
> version(s)」となっているものとぴったり一致していますし…。

> 「何か特定の条件下で」という前置きつきで上記アップデートを適用すると、私
> が報告したような現象が発現するのではないかとニラんでいるのですが、他の方
> の環境では問題起こっていないでしょうか…。

どうやら、因果関係があるらしきことははっきりしました。

最初、BuildService の KDE リポジトリ以下にある最新の kdelibs3 関連のパッ
ケージに入れ替えてみたものの、一般ユーザでは KDE が操作できる状態に入れ
ない…という問題は解消されなかったので、一旦システム全体を再インストール
(幸い、/home を別パーティションにしてあったので、一般ユーザの環境設定に
ついてはそのまま引き継げました)して再度検証したら、kdelibs3 関連のパッ
ケージを 3.5.7-72.9 にすると問題が発現。その状態から Update に残っている
3.5.7-72.6  に戻してやると通常通りログインできたので、問題の再現性が
kdelibs3 のバージョンに依存していることだけは分かりました。

…後は、他にどのような条件が重なった場合に発現することなのかの切り分けに
なりますが、とりあえず少し条件が絞れたので、Bugzilla にでも上げてみよう
と思います。

-- 
□●□ _/_/_/ To be Happy! _/_/_/
□□● _/_/ Satoru Matsumoto _/_/
●●● _/  helios_reds@xxxxxxx _/
---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-ja+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-ja+help@xxxxxxxxxxxx