Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.20 PL4] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <199911241017.CBI47815.BLTJB@lac.co.jp> Date: Wed, 24 Nov 1999 10:17:25 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: Buffer Overflow Survey Paper X-To: bugtraq-jp@securityfocus.com To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井です。 本家 Bugtraq に Buffer Overflow (Buffer Overrunという人も いますね) の類型化と対策についての論文がまとまった、という告知が出てい ました。非常に興味深い論文だと思います。 - ------------------ここから From: Crispin Cowan Date: Tue, 23 Nov 1999 02:39:53 +0000 Subject: Buffer Overflow Survey Paper Message-ID: <3839FE78.E75324FE@cse.ogi.edu> 訳: 6年前、 Bugtraq を通じてセキュリティ上の弱点に対してどの程度バッファ オーバーフローが寄与しているのかを当時私が書いていた論文の一部の材料に するために調査したことがあります。そして多くの人々が論文に仕上がった後 で結果を投稿するように返事をくれました。 細かい質問: 回答して頂いた中の約 2/3 の人々がバッファオーバーフローがセキュリティ 上の弱点のほとんどを占めていると考えていました。また、残りの 1/3 の 人々は不適切な設定が弱点のほとんどを占めていると考えていました。 この回答に対してはどちらにも理があると私は考えていますが、不適切な設定 はソフトウェア自身の問題ではないと考えています。従ってバッファオーバー フローがソフトウェアへのセキュリティ上の弱点をもたらし、そして不適切な 設定が操作上の問題を引き起こすと言えるでしょう。どちらの問題が弱点に強 い影響を与えるかについては明らかではありません。 大まかな質問: 論文は完成しました。DARPA Information Survivability Expo で発表します。 (http://schafercorp-ballston.com/discex/) また、SANS 2000 でも発表します。 (http://www.sans.org/newlook/events/sans2000.htm) この論文では多くのバッファオーバーフロー攻撃を類別化しています。また、 適用可能な対策の基準も類別化しています。そして、どの様な対策方法が攻撃 に対して効果的なのかを示しています。 論文は以下の URL から入手可能です。 http://immunix.org/StackGuard/discex00.pdf Crispin - ----- Crispin Cowan, CTO, WireX Communications, Inc. http://wirex.com Free Hardened Linux Distribution: http://immunix.org - ------------------ここまで - -- SAKAI Yoriyuki /----------------------------------->> sakai@lac.co.jp / LAC Co., Ltd. <<-----------------------/ http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.5.3i for non-commercial use iQA/AwUBODq+FZQwtHQKfXtrEQLQDQCgldeUvqSx+N2xFevmuWRbm9iWVngAoONh W2tjb5RRFsLh+ovcNPmjBL9P =ObPR -----END PGP SIGNATURE-----