スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月17日のtwitterセキュリティクラスタ

広く使われているフレームワークCakePHPに任意のコードが実行できる脆弱性があったようで、大騒ぎでした。なお、関連ツイートをざっと見た中に微弱性と虚弱性を確認したのをご報告させていただきます。
co3k: CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす | co3k.org http://htn.to/vhDLKd

sdozono: 今、cakephp.jp記事を追加しておきました。こういうのはホント騒がないと。でも、BakeryのRSSもあやしいぞ。アタックを受けたか。http://tinyurl.com/2g9uhpq

kaz_29: やっぱり、キャッシュのライフタイムは関係なくキャッシュが汚染されるような動きをしているように見えます。以下の修正を組み込めば今回の手法は防げそう。 http://bit.ly/bRYGbU #cakephp

rnosuke: 同じく。把握してないものそのまま使うの怖いし RT @shin1x1 SecurityComponentは使いづらいし、中で何やってるかが分かりにくいから最近は使ってない。CSRF対策はそれ専用のコンポーネントを作った。 #cakephp

co3k: フレームワークから提供されている機構がイケてないから独自で CSRF 対策をしちゃうみたいなのが普通になってるって結構すごいことだと思う。ほめてないよ。

co3k: 単に SecurityComponent を使用していないだけ(さっきの早合点をするような状況)だったらアプリによっては CSRF 攻撃に脆弱な可能性があるのでは……

kenji_s: @sugimoto1981 よくわからない脆弱性ですね。なんでそんなものを保存してるのか。Securityコンポーネントに脆弱性というは皮肉ですね。修正は http://ow.ly/3b3XM みたい。CakePHPは前にも任意のコードが実行可能というのありましたね

ockeghem: 『SecurityComponentを使用している場合には、このバージョンへのアップデートをお勧めします』<「お勧めします」では弱いんじゃないの?/表現が変わった(18:46確認) / "【重要】CakePHP 1.3.6 and 1.… http://htn.to/AZqBAm

hidenorigoto: gihyoの10/21の @yohgaki さんの記事に、今回の #CakePHP で見つかったやつと同じ手法が解説されていました→ http://ow.ly/3b9V5

tkykmw: ユーザ入力をそのままunserializeしてるのが問題の本質 http://bit.ly/d8EmTI なんか場当たり的な対策に見えるなあ… http://bit.ly/bDksZk こういう用途では改竄防止にMAC使うべきじゃなかろうか。 #cakephp

tsupo: CSRF対策のはずが、新たな脆弱性を作り込んでしまってるのか / CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす | co3k.org http://htn.to/fcujGW

tsupo: 「SecurityComponentの実装に問題があり、結果、外部から任意のコードを実行させることができるという深刻な内容」 / CakePHPのSecurityComponentに深刻なセキュリティホールが見つかりました - Shin… http://htn.to/UgyBHw

kinyuka: セキュリティ強化の目的で適用したソフトウェアのせいで脆弱になるのはほんとツライよね。すごくありがちなんだけど(;´Д`)わら

vochkun: Zend「CakePHPがやられたようだな…」CodeIgniter「ククク…奴はPHP四天王の中で最も脆弱…」Symfony「セキュリティ対策に穴があるとはフレームワークの面汚しよ…」えすにゃん「やめて私のために争わないで!」



あと気になったことはこのあたり。

jpcert: Adobe Acrobat/Readerのアップデートを!脆弱性を使用した攻撃を確認しています。^YK https://www.jpcert.or.jp/at/2010/at100031.txt


lac_security: 特集コンテンツ!!! 【緊急提言】 『情報管理 八策』 を出させていただきました。意見公募として、皆様からのご意見をお待ち申し上げております。 (^ま) http://www.lac.co.jp/hassaku/index.html
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。