パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

高木浩光氏、サイボウズは危険な脆弱性を告知しないと指摘」記事へのコメント

  • 影響範囲 (スコア:0, 興味深い)

    by Anonymous Coward on 2006年09月02日 11時29分 (#1010105)
    サイボウズOffice 6を使用しているので,うちの対応をどうしようかと思いながら読みました。
    うちの場合は事務部門である程度メンテできる必要があるという理由もあり,WebサーバはIISで作ってしまっています。 Webサーバのログはとっていて,外部からのアクセスは許していないので(外部から利用する一部ユーザはSSHでトンネルを掘って使用しています)今回の更新は見送ろうと思います。

    今回の件では微妙にサイボウズ担当者に同情してしまいました。この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。
    インターネットからイントラネットとしてのサイボウズシリーズにアクセスできてしまう, まずいシステム構築の仕方をするユーザが多いことが本当の問題かと。
    • Re:影響範囲 (スコア:4, 興味深い)

      by ddc (14170) on 2006年09月02日 11時42分 (#1010117) 日記
      >今回の件では微妙にサイボウズ担当者に同情してしまいました。この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。

      んーでも、マニュアルにはインターネットでの利用を想定した説明があるようですよ。
      それなのに、イントラネットでの使用しか想定していなかった、なんて言い訳は通じないのではないでしょうか。
      親コメント
    • Re:影響範囲 (スコア:2, 興味深い)

      by Anonymous Coward on 2006年09月02日 17時45分 (#1010398)
      >この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。

      http://takagi-hiromitsu.jp/diary/fig/20060901/1.png [takagi-hiromitsu.jp]
      親コメント
    • Re:影響範囲 (スコア:1, 興味深い)

      by Anonymous Coward on 2006年09月02日 14時04分 (#1010248)
      >インターネットからイントラネットとしてのサイボウズシリーズにアクセスできてしまう, まずいシステム構築の仕方をするユーザが多いことが本当の問題かと。

      まずい構築したユーザがいるって点には同意だけど、インターネットだろうがイントラネットだろうがネットワークで繋がるんだから、そこを想定した設計になってないのはやっぱり問題だろうなぁ。
      親コメント
    • by Anonymous Coward
      >外部からのアクセスは許していないので(・・・)今回の更新は見送ろうと思います

      それはやばいんじゃないの? 高木氏の日記の続編 [takagi-hiromitsu.jp]のここ↓読んだ?

      ※上記対象製品をイントラネット内でのみ運用している場合に、外部(インターネット網)から攻撃を受けることはございません。

      という(赤字で強調された)記述だが、これは本当だろうか? (・・・)
      今回の脆弱性の詳細を知らないのでわからないが、SQLインジェクションについては、「データベ

アレゲは一日にしてならず -- アレゲ見習い

処理中...