Slashcodeにバグ、任意のユーザーに成りすまし可能 3
ストーリー by Oliver
入力チェックは厳密に 部門より
入力チェックは厳密に 部門より
k3c 曰く、 "Slashcodeのバージョン2.1以降にかなりヤバいバグが見つかったそうです(SecurityFocus記事)。アカウントを持っているユーザーが他のユーザー権限を取れてしまうそうで、つまり管理者のアカウントを取れば後はやりたい放題。しかもWebブラウザから取れるらしいです。うへえ。
バージョン2.2.3にバージョンアップするまでusers.plとadmin.plは使えないようにせよとのお達し。/.Jは大丈夫でしょうか…(って、確認せずにタレコんでいいのかこれ?)"
当然2.2.3にアップデート済なので心配無用。
クロスサイトスクリプティング対策は? (スコア:2)
ただ、slashcodeというものが広く使われているかどうか知らなかったので、他のユーザに知らせる必要があるかわからず、それ以上何もしませんでしたが、そのときの問題の修正について、slashcode.comから告知は出ていたのでしょうか?告知が適切に出るソフトウェアは安心して使うことができますね。
日頃の意識が (スコア:1)
slashcodeも例外なしと言うことですね。
自分はこれをみて逆に安心しました。
一般の人もこういう選択の仕方をして欲しいですね。
OCNやBiglobeのセキュリティ対策CM
もっと流れて欲しいものです。
/.J管理ご苦労さまです。 (スコア:1)