Hatena::ブログ(Diary)

あまつぶ@はてなダイアリー RSSフィード

あまつぶWikiあまつぶ過去ログMacソフトWinソフト掲示板
<カレンダー>
2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 03 | 04 | 05 | 06 | 07 | 09 | 11 |
2011 | 02 | 07 | 08 | 11 |
2012 | 04 | 11 |
2013 | 07 | 09 | 10 |
2014 | 11 |
2015 | 11 |

<< 2004/08 >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

<最近の見出し>




POPFile の Mac OS X(Panther/Tiger/Leopard/Snow Leopard/Lion/Mountain Lion/Mavericks/Yosemite)用インストーラをお探しの方は、POPFile プロジェクトのダウンロードページへ。
 | 

2004-08-02 任意の GIF/PNG/ICO/CSS/HTML が読み取られる脆弱性が発見されました

[]任意の GIF/PNG/ICO/CSS/HTML が読み取られる脆弱性が発見されました 任意の GIF/PNG/ICO/CSS/HTML が読み取られる脆弱性が発見されましたを含むブックマーク

日本語化プロジェクトのフォーラムにも投稿したものだけど、ここにも書いておく。

(以下、フォーラムに投稿した内容と同じ)

本家フォーラムでアナウンスされていますが、任意の GIF/PNG/ICO/CSS/HTML

が読み取られる脆弱性が発見されました。

対象となるバージョンは POPFile 0.21.0 と 0.21.1 で、ステルスモードを

無効にしていた場合(デフォルトでは有効です)が該当します。

詳しくは、本家のメッセージ

https://sourceforge.net/forum/message.php?msg_id=2693493

を参照ください。

以下は、上記メッセージ(PSA #2)の翻訳(概要)です。

急いで翻訳したので一部変なところもあるかもしれません。詳しくは原文を参照

してください。

POPFile Security Advisory #2 : File read problem

みなさん、

ちょうど 1 時間弱前に、POPFile 開発者のひとりから GIF/PNG/ICO/CSS/HTML

ファイルがブラウザから読み取ることができるという脆弱性を発見したという報告が

ありました。

よかったのはステルスモードのデフォルト設定では影響がないことですが、問題なのは

セキュリティ上の欠陥が見つかったことです(これまで最後に(そして最初に!)

見つかったのは 2003 年の 5 月でした)。

すでにこの問題を修正するパッチを作成しており、今日テストして明日か水曜日

(訳注:日本では木曜日になるかと思います)リリースする予定です。この

バージョンは 0.21.2 となりますが、この情報をお知らせするのが遅くなっては

いけないと思ったのです。

  • 誰がこの問題の影響を受けますか?

この問題は、あなたが

1. バージョン 0.21.0 あるいは 0.21.1 を使用していて、

さらに

2. ステルスモードを無効にしている(デフォルト設定ではステルスモードになって

おり、外部からあなたのマシンに接続することはできません)

場合にのみ影響があります。

  • すぐにできる対処方法としてどんな方法がありますか?

セキュリティタブを開き、UI のステルスモードを有効にしてください。

  • アタッカー(攻撃者)は何をすることができますか?

特別な URL を作成することによって、あなたのマシンにある、ファイル名が以下の

拡張子で終わるファイルを読み取ることができます。対象となる拡張子は、.gif、

.png、.ico、.css、.html です。.html については、パスの中に manual/ が入った

ディレクトリにあるものが対象となります。攻撃者はファイルへのフルパスを知って

いる必要があり、また、ファイルの一覧や検索はできません。

  • 次に

このような問題が起こってすみません。この問題を解決するパッチをできるだけ早く

(ASAP)公開します。

アドバイザリに番号をつけた方がよいと思いますので、これはオフィシャルな PSA

POPFile Security Advisory)#2 となります。PSA #1 は、以下で読むことが

できます。

https://sourceforge.net/mailarchive/forum.php?thread_id=2563459&forum_id=12356

John.

(翻訳 amatubu)

[]とりあえずの対処としては…… とりあえずの対処としては……を含むブックマーク

PSA に書かれているように、ステルスモードを無効にする(デフォルトでは無効)、というのがとりあえずの対処となる。LAN 上で使用していて無効にできない場合には、POPFile がインストールされているマシンに外部からアクセスできないようにするのが次善の策かな。

今日これからテストして明日か明後日にはパッチ公開ということなので、それまでは上記方法で対処ということで。またなにか情報があれば随時更新の予定。


訳に変な部分などがあれば、フォーラムで返信していただくか、ここにコメントをお願いします。

b4-ttb4-tt 2004/08/03 11:12 デフォルトではステルスモードは「無効」ですよね?日本語訳文の箇所が有効と無効が入れ替わっているような…。^^;

amatubuamatubu 2004/08/03 23:04 いえ、ステルスモード=他のコンピュータからアクセスできないモードですので、デフォルトでは有効です。POPFile UI では、「リモートマシンからの HTTP 接続(ユーザーインターフェースの利用)を認める (POPFile の再起動が必要): いいえ (ステルスモード) という表記になっていますのでちょっとややこしいかもしれません。

b4-ttb4-tt 2004/08/04 08:20 すみませーん。わたくし勘違いしてました。^^;

 | 
464085