アカウント名:
パスワード:
権限ある場合だけ落とすってそれでいいのか?特権なくても任意コードやファイル変更起こせるのでは?と思ったが……パラメータの解釈ミスっていうか、正しく解釈した結果アプリの権限内でログの書き出しやモジュール読み込みをするっていうそれだけの話なのね。なんというか、根本的にはsetuidやらされうるアプリではパラメータでその辺設定できること自体が問題って事なんだろうか。# パッチで判定している「特権」ってsetuid類全てなんだろうか?違うなら概ね解決であっても完全とはならんよね。
X.Orz
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
もにょる修正 (スコア:0)
権限ある場合だけ落とすってそれでいいのか?
特権なくても任意コードやファイル変更起こせるのでは?
と思ったが……
パラメータの解釈ミスっていうか、正しく解釈した結果アプリの権限内でログの書き出しやモジュール読み込みをするっていうそれだけの話なのね。
なんというか、根本的にはsetuidやらされうるアプリではパラメータでその辺設定できること自体が問題って事なんだろうか。
# パッチで判定している「特権」ってsetuid類全てなんだろうか?違うなら概ね解決であっても完全とはならんよね。
Re:もにょる修正 (スコア:1)
X.Orz