アカウント名:
パスワード:
「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。ヤバさがちゃんと伝わってないよ。。
とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。
そもそも開発者がこんなん
https://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html [scutum.jp]
いくらヤバさが伝わっても、「でもそれ(=運用すること)で金もらってるんだから(絶対に止めない)」っていう管理職やら経営者やらが多数いる以上、どうしようもないでしょうね。
できることは保身だけ。
「リモートから任意のコードを実行」と言っても、たいていは「悪意あるユーザが○○にアクセスできる状態であれば」といった前提条件付きのことも多いし。
で今回、自分もその類だと思っていて、ファイルアップロード処理が云々とかあるから、ファイルアップロードできる状態に限定されるのかとも思っていた。StrutsのMLに流れた修正版のリリースアナウンスも、"This release addresses one potential security vulnerability" なんて表現になっていた。正直、PoCコード見るまで緊急性を感じなかった。
「直ちにシステムを停止」という言い方が乱用されても困るけど、「『直ちにシステムを停止』してもいいぐらいのレベル」であることが伝わる必要があるのは同意。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
脆弱性アナウンスにも問題がある (スコア:0)
「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。
ヤバさがちゃんと伝わってないよ。。
とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。
Re:脆弱性アナウンスにも問題がある (スコア:3, 興味深い)
そもそも開発者がこんなん
https://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html [scutum.jp]
Re: (スコア:0)
いくらヤバさが伝わっても、
「でもそれ(=運用すること)で金もらってるんだから(絶対に止めない)」
っていう管理職やら経営者やらが多数いる以上、
どうしようもないでしょうね。
できることは保身だけ。
Re: (スコア:0)
「リモートから任意のコードを実行」と言っても、
たいていは「悪意あるユーザが○○にアクセスできる状態であれば」
といった前提条件付きのことも多いし。
で今回、自分もその類だと思っていて、ファイルアップロード処理が云々とかあるから、
ファイルアップロードできる状態に限定されるのかとも思っていた。
StrutsのMLに流れた修正版のリリースアナウンスも、
"This release addresses one potential security vulnerability" なんて表現になっていた。
正直、PoCコード見るまで緊急性を感じなかった。
「直ちにシステムを停止」という言い方が乱用されても困るけど、
「『直ちにシステムを停止』してもいいぐらいのレベル」であることが伝わる必要があるのは同意。