アカウント名:
パスワード:
2006年12月にデータベースサーバーをアップグレードした為、不用意なコマンドをSQLインジェクションでは実行できないようになりましたが、この時点ではすでに悪性プログラムはサーバー内に存在していたと考えられます。
2006年12月にデータベースサーバーをアップグレードした為、不用意なコマンドをSQLインジェクションでは実行できないようになりましたが、
SQLインジェクション脆弱性は、サーバをアップグレードすることで解消するような部類の脆弱性ではありません。サウンドハウス自身が自社開発したというプログラム部分を修正しない限り脆弱であり続けるものです。通常。
この期に及んでこんなことを言っているようでは、今現在もサウンドハウスはWebアプリの脆弱性というものを理解していないと思わざるを得ません。
2006年12月にデータベースサーバーをアップグレードした為、不用意なコマンドをSQLインジェクションでは実行できないようになりましたが、 SQLインジェクション脆弱性は、サーバをアップグレードすることで解消するような部類の脆弱性ではありません。サウンドハウス自身が自社開発したというプログラム部分を修正しない限り脆弱であり続けるものです。
SQLインジェクション脆弱性は、サーバをアップグレードすることで解消するような部類の脆弱性ではありません。サウンドハウス自身が自社開発したというプログラム部分を修正しない限り脆弱であり続けるものです。
SQL Serverには任意のコマンドが実行できるxp_cmdshellという魔の拡張ストアドプロシージャが標準で用意されています。昔のバージョンではそれはデフォルトで使用可能な状態になっていたので、SQL ServerではSQLインジェクションができるともれなくOSコマンドインジェクションもついてくる状態でした。SQLインジェクションでなぜかサイトが改竄できるというものの原因はおおむねこれです。で、確かSQL Server 2005からはデフォルトが使用できない状態に変わりました。
なのでその部分はサイト改竄があるならxp_cmdshellが実行できなくなる前だろうということが言いたいだけで、SQLインジェクション脆弱性を修正したということではないと思われます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
長ったらしい弁明文だけど,気持ちも分からないでもない (スコア:3, 参考になる)
SQLインジェクションに対する脆弱性が判明して,
それを修正した際は,
一からサーバの再構築をしたほうがよい,ってことね。
一応,2006年末にSQLインジェクション対策はしてるみたいだし。
でも,それ以前にバックドアが仕込まれてるので意味がない,と。
個人的には,本当に「2007年以降のデータだけで済んでる?」とは言いたいが,
まあ,完璧なレベルを求めてもしかたないしね・・・
Re: (スコア:0)
それ、どこに書いてありました?
今全文読みましたが、そんなこと書いてなかったですよ?
Re:長ったらしい弁明文だけど,気持ちも分からないでもない (スコア:1)
Re:長ったらしい弁明文だけど,気持ちも分からないでもない (スコア:3, すばらしい洞察)
Re: (スコア:0)
SQLインジェクション脆弱性は、サーバをアップグレードすることで解消するような部類の脆弱性ではありません。サウンドハウス自身が自社開発したというプログラム部分を修正しない限り脆弱であり続けるものです。通常。
この期に及んでこんなことを言っているようでは、今現在もサウンドハウスはWebアプリの脆弱性というものを理解していないと思わざるを得ません。
Re:長ったらしい弁明文だけど,気持ちも分からないでもない (スコア:1, 参考になる)
SQL Serverには任意のコマンドが実行できるxp_cmdshellという魔の拡張ストアドプロシージャが標準で用意されています。昔のバージョンではそれはデフォルトで使用可能な状態になっていたので、SQL ServerではSQLインジェクションができるともれなくOSコマンドインジェクションもついてくる状態でした。SQLインジェクションでなぜかサイトが改竄できるというものの原因はおおむねこれです。で、確かSQL Server 2005からはデフォルトが使用できない状態に変わりました。
なのでその部分はサイト改竄があるならxp_cmdshellが実行できなくなる前だろうということが言いたいだけで、SQLインジェクション脆弱性を修正したということではないと思われます。