アカウント名:
パスワード:
コードが書かれているとおりなら、脆弱性の内容に誤りはないです。また、問題の投稿は、Full-disclosure ML に、SecurityTracker 社の記事にあるように、2/14 に行われたものです 。ここまで書くと探すには困らないかと。なお、実際の投稿には Subject はありますが、PC 的にアレな代物なので SecurityTracker 側でカットされています。
で、このメーリングリストですが、セキュリティ関係の欠陥を議論する普通のメーリングリストです。月三千通ベースなので、やや小規模でしょうか。ただし、このテーマのメーリングリストは多くないのと、題名の通り情報は隠さず開示して議論 (欠陥の内容、回避など) を行うことを標榜しているため、穴指摘はあります。穴の技術的な詳細が、パッチが出た事後にでも開示される場って少ないので (特にこの関係の話は新規の種類の欠陥、ってのが少なくない)、貴重な場の一つではあります。
# Securitytracker の記事は、もちろん価値がありますが FYI ですよね。
#第一、管理者であるというなら、BUGTRAQ とここと、ほか数カ所は読んでいて当然かと。他の人に教えて、ってのは呆れた甘え以外としか思えません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
報告元はsecuritytrackerではない (スコア:3, 参考になる)
大変申し訳有りません (スコア:1, 参考になる)
Full-disclosure ML。
報告者は、gta@hush.com
大変申し訳無い事をいたしました。
Watchの記事自体が誤りであるというご指摘ですね。
見つかった脆弱性の性質には誤りは無いのでしょうか ?
毎度おなじみという事のようですが、
私の様な素人にもわかる様にそれがどういう性質のMLか、
いつそれが公開された物なのか等詳細を記載していただけると
大変有り難いのですが、…… お願い出来ませんでしょうか?
# 以後このようなミスをしない為にも是非お願いします
ミスをした当人(MIYU)です
Re:大変申し訳有りません (スコア:2, 参考になる)
コードが書かれているとおりなら、脆弱性の内容に誤りはないです。また、問題の投稿は、Full-disclosure ML に、SecurityTracker 社の記事にあるように、2/14 に行われたものです 。ここまで書くと探すには困らないかと。なお、実際の投稿には Subject はありますが、PC 的にアレな代物なので SecurityTracker 側でカットされています。
で、このメーリングリストですが、セキュリティ関係の欠陥を議論する普通のメーリングリストです。月三千通ベースなので、やや小規模でしょうか。ただし、このテーマのメーリングリストは多くないのと、題名の通り情報は隠さず開示して議論 (欠陥の内容、回避など) を行うことを標榜しているため、穴指摘はあります。穴の技術的な詳細が、パッチが出た事後にでも開示される場って少ないので (特にこの関係の話は新規の種類の欠陥、ってのが少なくない)、貴重な場の一つではあります。
解説 ありがとうございます (スコア:0)
技術的な詳細が掲載されるメーリングリストでもあるのですね。
# ていねいな解説ありがとうございます MIYU
Re:報告元はsecuritytrackerではない (スコア:0)
発表したのがsecuritytracker、発見者は別にいる様に元記事は読めるけど
発見者をはっきり書いてはいないけど・・・特に気になる程では無いと思う。
Re:報告元はsecuritytrackerではない (スコア:1)
# Securitytracker の記事は、もちろん価値がありますが FYI ですよね。
Re:報告元はsecuritytrackerではない (スコア:0)
> 発表という形だった事は不幸中の幸いでしょうか。
というタレコミ文章自体が物凄い勢いで失格なんじゃないか、という指摘だよ。
exploitが既にある訳でしょ。Microsoftへの報告なんて当然してないんでしょ。
二番目くらいに悪い状況だと思いますよ。
Re:報告元はsecuritytrackerではない (スコア:0)
MLは一般に向けて公開されている物では無いので、誰でも情報入手が可能な報道/セキュリティー会社からの発表とは別物です。実際使っている人に危険性の情報が伝わる事が重要な事
Re:報告元はsecuritytrackerではない (スコア:1)
#第一、管理者であるというなら、BUGTRAQ とここと、ほか数カ所は読んでいて当然かと。他の人に教えて、ってのは呆れた甘え以外としか思えません。