ruby-1.8.2に任意のコマンド実行の脆弱性 23
ストーリー by GetSet
見落とさないよう注意、注意 部門より
見落とさないよう注意、注意 部門より
ferrocyan曰く、"FreeBSDのportaudit経由、CAN-2005-1992によると、バージョン1.8.2以前のrubyに含まれるXMLRPCサーバーに、リモートの攻撃者に任意のコマンド実行を許してしまう脆弱性が発見されました。原因は、utils.rb内で、不適切なデフォルト値が使用されているというもの。発見者により、既にパッチも提案されているので、対策はお済みの方も多いと思いますが、タレコミ時点でFreeBSDのportはまだ修正されていないようなので、ご注意を。"
これ古い情報では・・・ (スコア:2)
対策ずみディストロ少? (スコア:0)
Vine(6/27), Turbo(6/28) って感じなので、ぼつぼつアップデートを。
Fedora Core は 6/21。手で当てようとしたら yum がもう入れてくれてた。
公式サイトより早い/.J (スコア:1)
先に/.Jで情報を仕入れてしまうとなんだかビミョウな気分。
♯自分の環境はたった今Fixしましたよ、えぇ。
cWind - 情報は自ら求める者の元に集う
Re:公式サイトより早い/.J (スコア:0)
「関係者」って誰のことですか?
Re:公式サイトより早い/.J (スコア:1)
--
「なんとかインチキできんのか?」
脆弱性 (スコア:1, おもしろおかしい)
ありがちだとは思ってたけど、ホントに言われたのは初めてでビックリした。
Re:脆弱性 (スコア:1, おもしろおかしい)
Re:脆弱性 (スコア:0)
Re:脆弱性 (スコア:0)
Re:脆弱性 (スコア:1)
スラド発の誤読パターン、
ということでしょうか?
まあたまにはそんなお茶目な成果物(?)があってもいいと思いますよ。
Re:脆弱性 (スコア:0)
Re:脆弱性 (スコア:1)
読みが不安な時に、あえて読まずに言葉を濁す人とばかり付き合っているからでは? (^^;
「廉価」を「兼」でつられて「けんか」と読むのと同じくらいみかけませんか?
それと同様に「危」でつられて「きじゃく」と読んでしまうのは、まだ理解できます。
だがしかし、「ひんじゃく」というのは……やっぱり台詞なのかなぁ?
タブレット中毒者。
Re:脆弱性 (スコア:0)
使用例としては「せい」は省略して。
使用例:「ふはははは!もろよわ、もろよわぁ~」
#もっとクーラーきかせて欲しいのでAC
Re:脆弱性 (スコア:0)
mswin32 (スコア:1)
Re:mswin32 (スコア:0)
ともかく、見た感じ .rb ファイルを1行直すだけみたいですから、
さっさと直したいのであれば、該当のファイルを適当なエディタで
修正するだけでもいいのではないかとおもいますけど……。
影響の範囲がどのくらいあるかわかってないので、話半分くらいで聞いてくれた方がいいですけど
で? (スコア:0)
tdiaryとか引っ込めた方がいいんだろうか?
Re:で? (スコア:2, 参考になる)
tDiary で関連すんのは pingback のサーバを運営する場合か、 xmlrpc プラグイン使ってる人だけ。大半は無関係。
Re:で? (スコア:0)
もし自分で当該ファイルを修正出来る権限を持っているなら、記事の patch を適用してしま
Re:で? (スコア:1)
原因 (スコア:0)
Re:原因 (スコア:0)
http://www.ruby-lang.org/ja/man/?cmd=view;name=Module#public_instance_methods