アカウント名:
パスワード:
なぜかこれがほとんど話題になっていないのですが、一連の穴騒ぎでISSが出したpatchには抜けがあり、あれだけでは穴を塞ぎ切れないと聞いた記憶があります(確かセキュリティホールmemoから、ただし現在www.st.ryukoku.ac.jpがだんまり中)。そうな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ISSの落度 (スコア:1)
なぜかこれがほとんど話題になっていないのですが、一連の穴騒ぎでISSが出したpatchには抜けがあり、あれだけでは穴を塞ぎ切れないと聞いた記憶があります(確かセキュリティホールmemoから、ただし現在www.st.ryukoku.ac.jpがだんまり中)。そうな
Re:ISSの落度 (スコア:1, 参考になる)
競合相手であるRedHatの社員が、Apacheのプロジェクトには多数
参加している。
ISSにとって、Apacheの脆弱性を公開し、かつApacheに十分な対応を
とる余裕を与えないことによって打撃を与えることができる。
だから信じられないくらいわずかな時間しか与えず、しかもまだ何も
対策が準備されていないうちに一般公開したという話。
ISSが出したパッチは、実は役に立たないパッチであったため、
世界中の多数のサーバが危険な状態に陥らされた。
ISSが出したパッチはWin32用であって、実際には他のプラット
ホームでも同様の脆弱性を攻略して任意のプログラム実行が可能で
あったということ。
100人のクラッカーがその脆弱性を知っており、100万台のサーバが
危険な状態にあるのを、1万人のクラッカーが脆弱性を知っている
状態に悪化させただけ。
100万台のサーバ管理者は、特に何も対策手段を講じることができない
ままで、脆弱性を攻略される危険度が急激に上がったわけ。
#クラッカーとサーバの数は比喩で適当。正確ではありません。