fdiary 曰く、 "Ruby で実装された Wiki エンジンの一種である Hiki に、深刻な脆弱性が発見されました。遠隔から第三者が HTTP サーバのユーザ権限を取得する可能性があります。ご利用の方は速やかに対処してくださるようお願いします。[アナウンス]"
いまCVSのHEADで取り出したけど (スコア:0)
ってなってるけど、これは大丈夫なのかな。
ChangeLogにもセキュリティホールのことは書いて無いようですが。
Re:いまCVSのHEADで取り出したけど (スコア:2, 参考になる)
ご指摘ありがとうございます。CVS HEAD の 0.7-devel-20040618 以降で対策済みです。
アナウンスの関連文書の URI にある私の日記 [tdiary.net]にも追記しておきました。
Re:いまCVSのHEADで取り出したけど (スコア:0)
cgiが実行される時の権限?それとも本当にhttpdの方の?
Re:いまCVSのHEADで取り出したけど (スコア:1)
ご指摘ありがとうございます。 もちろん cgi 実行権限です。
Re:いまCVSのHEADで取り出したけど (スコア:0)
「遠隔から cgi 実行権限を得ることができる」
って言っても、CGI プログラムを実行する時点で既に得ている
わけで、それは別に問題でも何でもない。
つまり
「CGI プログラムの実行権限で任意の命令を実行できてしまう」
ってこと?
Re:いまCVSのHEADで取り出したけど (スコア:0)
CGIのセキュリティホールなら、常識的に考えればこれでしょ。
もちろんローカルユーザー権限でrootを取得できる他のセキュリティーホールが残ってれば、それと組み合わせれて、まるごと好き放題されるでしょうけれど。
Re:いまCVSのHEADで取り出したけど (スコア:0)
さぁ、どうなんだろうね。
てゆーか、ちゃんとアナウンスしなさいってことだよ。
他のアドバイサリ [lac.co.jp] を読んで、どう書くのが最もわかりやすいか考えてみな。
Re:いまCVSのHEADで取り出したけど (スコア:0)
Re:いまCVSのHEADで取り出したけど (スコア:0)
他にも 探せば結構ありますなぁ.
Re:いまCVSのHEADで取り出したけど (スコア:0)
Re:いまCVSのHEADで取り出したけど (スコア:0)
空目 (スコア:0)
Re:空目 (スコア:2, おもしろおかしい)
Re:空目 (スコア:0)
#激しく誤解
Re:空目 (スコア:0)
Re:空目 (スコア:0)
∧∧
(д`* )
(⊃⌒*⌒⊂)
/__ノωヽ__)
Re:彼女の脆弱性が見つかりました (スコア:0)
Re:空目 (スコア:1)
Re:空目 (スコア:1)
HHK Pro エキスパートモデル [fujitsu.com]の場合,キーボード初心者がフリーズするという脆弱性は,公知だと思っていたが...
Re:空目 (スコア:0)