Netscape/MozillaにCookie漏洩のセキュリティホール 21
ストーリー by wakatono
早期のアップデートを 部門より
早期のアップデートを 部門より
jbeef曰く、" Marc Slemko氏(Apache HTTPサーバプロジェクトのメンバでもある) が 現地時間の21日に公表した情報によると、Netscape 6.2およびMozilla 0.9.xに、任意サイトのcookieの盗み出しが可能なセキュリティホールがあり、Netscape 6.2.1およびMozilla 0.9.7で修正されているとのこと。「http://example.com%00passport.com/」 といった、「%00」を挿んだURLにアクセスすると、passport.com向けに発行されたcookieがexample.comへ送信されてしまうという。"
"原因はおそらく、null文字が、cookieの処理ルーチンでは文字列の終端文字として扱われず、リモートホストへのアクセス処理では終端文字として扱われたためといったところだろう。 類似のセキュリティホールとしては、2000年5月にIEに発覚した Open Cookie Jar(MS00-033)がある。
12月上旬にNetscape 6.2.1がリリースされたことは知っていたが、セキュリティfixだとは知らされなかった私は、アップデートしていなかった。 Netscapeのセキュリティノートのページにも何も書かれていなかった。Marc Slemko氏の説明によると、1月中旬になって、こっちのページに、6.2.1がセキュリティfixだったことが公表されたという。"
わりとありがちなバグといってしまえばそれまでだが、危険は危険。心当たりの人はアップデートを。
0.01のupの時は重要な修正? (スコア:3, 興味深い)
かわったかの情報は欲しいですが
0.01の時は、セキュリティホールの修正だけなので、詳細が
わかるわからないにかかわらず充てるべきバージョンアップだと
思いますよ。
要らぬ機能の追加も心配ないですしね。
かといって、詳細の公開をしなくていいわけではないので、
内容を理解すべき人向けには公開すべきですね。
ネスケはバージョンがあがると、問題がある。修正しないといけない。
って事がわかりやすくて、初心者には勧めやすいです。
それにひきかえIEだと、どのパッチをあてたらいいか、けっこう
悩む。
By シャム
Re:0.01のupの時は重要な修正? (スコア:1)
Netscapeは6以降正式リリースという形になってますが、基本的には現状のMozilla並の完成度なんだよなぁ。
オープンソースプロジェクトと脆弱性情報公開 (スコア:3, 参考になる)
- 11月15日:発見者がNetscapeとmozilla.orgに報告
- 12月4日ごろ?: Netscape 6.2.1 英語版がリリース
- 12月20日ごろ?: 日本語版、旧Mac/MacOSX/Linux版が出揃う [srad.jp]
- 1月中旬:セキュリティfixだったことが公表される [netscape.com]
「各国語版、各OS版が出揃うまで、脆弱性情報を公表しない」という考え方はアリなのかもしれない。揃うまでどれもリリースしないという考え方もアリかもしれないが、できたものから早く出したいということもあるかもしれない。どうすべきなのだろう?オープンソースプロジェクトの場合、報告されたセキュリティホール情報をプロジェクトメンバーの誰までに見せてよいかという問題もある。誰でも閲覧可能な場に問題点の情報を投げ込むのは、避けた方がよいかもしれないが、できるだけ多くのメンバーに見てもらって、迅速に対応したいという面もある。どうすべきなのだろう?
Re:オープンソースプロジェクトと脆弱性情報公開 (スコア:3, 興味深い)
「前回のリリースには既知のセキュリティ問題が含まれている」というのがこの行動を行ったときに明らかになる情報ですが、無用の混乱を避ける意味でも最初に告知しないほうがいいような気もします。どうせ(善悪の区別を問わず)セキュリティホールを探すような人はこの情報があろうと無かろうと自分で探すでしょうし。
そういう意味でも、今回の「リリース時にセキュリティ修正であるとは告知しない」というのは原則にはそぐいませんが、非常に普及したソフトウェアではある意味正しいような気もします。
ただし、問題が周知になってしまったセキュリティホールについてはその限りではなく、修正版と告知すべきだと思います。こういうケースでのNetscape社の対応はちょっとおかしいと思わないでもないです。
Re:オープンソースプロジェクトと脆弱性情報公開 (スコア:0)
以前に書いたのですが、とりあえず、mozilla.org ではこのような取り決め [srad.jp]があるようです。
ベンダーによる積極的な情報開示を希望 (スコア:2, 興味深い)
バージョンが上がったら黙ってバージョンアップ、というのもアリですけど。もう少し積極的な広報があってもいいような気がしなくもないです。
日本語による積極的な情報開示を希望 (スコア:1)
今いろいろ探してみたけど、日本語による説明、載ってないよ。
ほえほえ....英語読むの疲れるのに....
Re:ベンダーによる積極的な情報開示を希望 (スコア:0)
なので mozilla.org の方の情報がそのまま Netscape 6系に
も当てはまります。
だからといって mozilla.org の情報があれば Netscapeの
情報発信は必要ないとは思いませんが、使う側のひとつの
知恵としてmozilla.org も視野に入れておくというのは
アリかと思います。
Re:ベンダーによる積極的な情報開示を希望 (スコア:1, すばらしい洞察)
Netscape へ feedback 投げてきました。
以前に見たときは日本語でも書くことが
出来たような覚えがあるのですが、
なんか英語のフォームしかなかったので
大したことは書けませんでしたが。
みんなで意見を送れば、なんか変わるんじゃ
ないですかね。
ようやく、というか (スコア:2, 興味深い)
ようやくここまで来たかな。
これから結構ボロボロと出てきそうな気がする。
とはいえ IEよりは OS へアクセスする範囲が狭いので(File IOくらい?)、根本的には安全でしょう。
-- wanna be the biggest dreamer
Re:ようやく、というか (スコア:0)
>ベル(バグ)でのセキュリティホールは追いきれていなかったように思
>います。
確かにおっしゃる通りですね。
ところで話は変わりますが、Linux及びFreeBSD版のMozilla又はNetscape Navigator 4.79はあるのですが、何故OpenBSD版のMozillaは未だにリリースされる気配がないのでしょうか。今現在、仕方ないのでIE6から当サイトを閲覧させて頂いております。
OpenBSDには、w3mとLynXといった優れたテキスト形式のブラウザがあるのですが、たま~にムラムラッとしてきた時に少なく
Re:ようやく、というか (スコア:1)
w3m のページ [biglobe.ne.jp]インライン画像の表示
これは?
ちょっと依存するものがあるようですが、X が使える状態ならどこでも動くと思いますけど。
Re:ようやく、というか (スコア:1)
OpenBSD版ですが(Re:ようやく、というか) (スコア:0)
確か mozilla.org にある FreeBSD/NetBSD版は
外部の人間が build したものを contribute した
ものです。 FreeBSD nightly-build は日本の人が
やってるとかなんとか。
なのでパワーのある OpenBSDな方々が build して
contributeしていただければ他の OpenBSDな人が
幸せになるのではないかと。
Re:OpenBSD版ですが(Re:ようやく、というか) (スコア:0)
ただ単に、portを用意する
0.9.7では直っている (スコア:1)
Re:0.9.7では直っている (スコア:1)
親コメントにもその旨かいてある気がしますが。
Re:0.9.7では直っている (スコア:1)
http://bugzilla.mozilla.org/ [mozilla.org]
- Ryuzi Kambe -
Re:0.9.7では直っている (スコア:2, おもしろおかしい)
http://bugzilla.mozilla.org/show_bug.cgi?id=98491 [mozilla.org]
Re:0.9.7では直っている (スコア:1)
http://www.infoseek.co.jp/Honyaku [infoseek.co.jp]
- Ryuzi Kambe -
いちお、 (スコア:1)