長崎県電子県庁システムに認証周りの脆弱性

長崎県電子県庁システムに認証周りの脆弱性 5

ストーリー by GetSet 2006年01月15日 17時00分
認証情報をハードコードしちゃダメでしょ部門より

slashdotted曰く、"IT Proの記事によると、以前/.J でも取り上げられたことのある、長崎県電子県庁システムに、2つのセキュリティホールが見つかったことを、JPCERT/CC、及びIPAが明らかにした。詳細情報は、以下のとおり。

JVN#836B21C0：認証処理に関する脆弱性
JVN#6CA72ADB：認証情報に関する脆弱性

尚、前出のIT Proの記事によれば、昨年の12/28に対策を施した版がリリースされているとのことだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索5コメント Log In/Create an Account

オープンソースって (スコア:2, おもしろおかしい)

by Anonymous Coward on 2006年01月15日 19時28分 (#864927)

目に付くところに置いておけば
高木さんが指摘してくれる……って思われちゃ困ります。
- Re:オープンソースって (スコア:0)
  
  by Anonymous Coward
  
  [ソースコード中に組み込まれた認証情報]
  http://www.ipa.go.jp/security/vuln/documents/2005/JVN_6CA72ADB_nagasaki.html
  による脆弱性を指摘されたということは、オープンなソースをちゃんとご覧になったということですよね。
  （私ならわざわざダウンロードしてソース読んだりしない）
  - Re:オープンソースって (スコア:0)
    
    by Anonymous Coward
    
    つうかこれ、思いっきりバックドアじゃないか?
    この実装の意図はどうあれ、このシステムの開発者(長崎県?)は、
    これを採用したシステムにある程度の権限者として
    ログインできるようになってたわけだろ?
    それを「脆弱性」として扱うのは…違わないか?
    # 右へ倣えのAC
    - Re:オープンソースって (スコア:1, 参考になる)
      
      by Anonymous Coward on 2006年01月16日 20時03分 (#865346)
      
      ＞この実装の意図はどうあれ、
      長崎県の言い分はこうなっていますね。
      庁内での利便性を考慮した仕様に基づくものであり、裏口パスワードとして用意したものではありませんが、削除したソースコードに置き換えました。 [osvfn.com]
      
      シェア
      
      親コメント
    - Re:オープンソースって (スコア:0)
      
      by Anonymous Coward
      
      自分のとこだけで使うんならまだしも、周りに配る物にそんな物(バックドア)があったんですから、
      知らずに導入した側の人(いるのかどうか知りませんが)にとっては立派な脆弱性でしょう。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

長崎県電子県庁システムに認証周りの脆弱性 5

長崎県電子県庁システムに認証周りの脆弱性 More ログイン

オープンソースって (スコア:2, おもしろおかしい)

Re:オープンソースって (スコア:0)

Re:オープンソースって (スコア:0)

Re:オープンソースって (スコア:1, 参考になる)

Re:オープンソースって (スコア:0)

スラド