パスワードを忘れた? アカウント作成
Close
2028 story

Slashcodeにバグ、任意のユーザーに成りすまし可能 3

ストーリー by Oliver
入力チェックは厳密に 部門より

k3c 曰く、 "Slashcodeのバージョン2.1以降にかなりヤバいバグが見つかったそうです(SecurityFocus記事)。アカウントを持っているユーザーが他のユーザー権限を取れてしまうそうで、つまり管理者のアカウントを取れば後はやりたい放題。しかもWebブラウザから取れるらしいです。うへえ。
バージョン2.2.3にバージョンアップするまでusers.plとadmin.plは使えないようにせよとのお達し。/.Jは大丈夫でしょうか…(って、確認せずにタレコんでいいのかこれ?)"

当然2.2.3にアップデート済なので心配無用。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeにバグ、任意のユーザーに成りすまし可能 More

  • 私も、10月と12月に、slashdot.jpにクロスサイトスクリプティング脆弱性を見つけ、cookieを盗む罠を仕掛けられ得ること、その結果としてセッションハイジャックされて他人に成り済まされる可能性を報告しました。修正は2回とも迅速に行われ、修正したとの連絡も頂いています。

    ただ、slashcodeというものが広く使われているかどうか知らなかったので、他のユーザに知らせる必要があるかわからず、それ以上何もしませんでしたが、そのときの問題の修正について、slashcode.comから告知は出ていたのでしょうか?告知が適切に出るソフトウェアは安心して使うことができますね。

  • やはりセキュリティは日頃の意識が重要ですね。
    slashcodeも例外なしと言うことですね。
    自分はこれをみて逆に安心しました。

    一般の人もこういう選択の仕方をして欲しいですね。
    OCNやBiglobeのセキュリティ対策CM
    もっと流れて欲しいものです。

  • /.J管理ご苦労さまです。 (スコア:1)

    by atrib (5512) on 2002年01月15日 9時39分 (#54278)
    >当然2.2.3にアップデート済なので心配無用

    というコメントに頼もしさを感じました(笑)
    確かに「当然」なのですが、なかなかセキュリティホールを塞がない(塞ぐことの重要性を認知していない)サイトが多い気がしてなりません・・・。と言いながら今頃クロスサイト対応に追われているんですけど(笑)

    /.Jの管理、ご苦労さまです。m(_ _)m>管理者の皆様
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie