OSDN -- オープンソース・ソフトウェアの開発とダウンロード
日本語の翻訳状況 translation status for ja

チケット #18432
チケット一覧/検索 新規チケット登録 RSS

危険なPNG画像

登録: 2009-08-28 12:43 最終更新: 2009-08-28 18:58

報告者:
olyutorskii
担当者:
sugi
チケットの種類:
バグ
状況:
完了
コンポーネント:
プロジェクトWeb機能
マイルストーン:
(未割り当て)
優先度:
5 - 中
重要度:
5 - 中
解決法:
なし
ファイル:
1

詳細

各プロジェクトのホームページ向けに「SourceForge.JP のロゴの表示」として提供されているsflogo.phpが、不正なPNG画像データを送出していることが解りました。

0バイト長のIENDチャンクの後に、何かしらの不正なデータが埋め込まれている模様です。type=1からtype=6まで全ての画像で確認できました。残りのtypeは未確認です。

PNG home pageが公式配布しているツールpngcheckなどで確認してみてください。

不正なPNG画像(Malformed PNG)を用いたコンピュータウィルスの存在が既に世間では確認されています。現時点でカスペルスキー2009のスキャンはパスするようですが、正式なPNG画像に対処して頂けないでしょうか。

何かしらの意図を持って埋め込まれたものであれば、その目的を説明頂けると幸いです。

※英語版SourceForge.netのsflogo.phpでは対処済みのようです。

※パケットアナライザWireshark1.2を使うと、不正なPNG画像を楽に探すことができます。

チケットの履歴 (4 件中 3 件表示)

2009-08-28 12:43 更新者: olyutorskii
  • 新しいチケット "危険なPNG画像" が作成されました
2009-08-28 14:02 更新者: sugi
  • 担当者(未割り当て) から sugi に更新されました
コメント

報告ありがとうございます!

何とも情けないことにPHPスクリプト側のミスで、ファイルの最後にバイトカウントと改行がくっついていました。 先ほど修正しておきました。

2009-08-28 18:58 更新者: olyutorskii
  • 状況オープン から 完了 に更新されました
  • チケット完了時刻2009-08-28 18:58 に更新されました
コメント

迅速な対処をありがとうございます。 正規のPNG画像が送出されていることを確認しました。

セキュリティの絡んだトラブルではなかったようなので、一安心です。

添付ファイルリスト

  • sflogo.png(1KB)
    • http://sourceforge.jp/sflogo.phpが生成するtype1画像

編集

ログインしていません。ログインしていない状態では、コメントに記載者の記録が残りません。 » ログインする