Re:バックドア？ (#2690942) | Bugzillaに未解決の脆弱性が発見される

「Bugzillaに未解決の脆弱性が発見される」記事へのコメント

記事ページを表示すべてのコメント取得

検索19コメント Log In/Create an Account

バックドア？ (スコア:0)

by Anonymous Coward

認証無視で管理者権限アカウントとか
脆弱性ってより裏仕様の
バックドアばれちゃったみたいなはなしですね
本当にバグだったんだろうか
- Re: (スコア:4, 参考になる)
  
  by Anonymous Coward
  
  オンラインでソースが見られないのでよくわかりませんが、本家のアナウンスを見ると
  The 'realname' parameter is not correctly filtered on user account creation, which could lead to user data override.
  とあるので、「realname」というパラメータの入力値のチェック漏れでSQLインジェクションか何かを許してしていたのではないでしょうか。
  普通の脆弱性ではないかと。
  - Re: (スコア:2, 興味深い)
    
    by Anonymous Coward
    
    高木センセーの仰ってる通り、サニタイズとかじゃなくてパラメータライズドクエリを使え、と。
    こんなメジャーなシステムでそんな初歩的なミスをしていたなんて、ちょっと驚きですね。
    #ふと思ったんですが、プリペアドステートメントとパラメータライズドクエリ、どっちがメジャーな呼び方なんでしょうかね。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      追記。
      プレースホルダ、って言い回しもありますねぇ。
      なんかこうやって言い回しが色々ありすぎるのも、パラメータライズドクエリが普及しない原因なのかなぁ。
      検索し辛いし、言い回しが複数あると知らない人は頭の中にはてなが浮かぶでしょうし。
      #私は直感的に意味がわかる、パラメータライズドクエリ派です。
      - Re: (スコア:1)
        
        by HomuraAkemi (46038)
        
        ODBCのAPIだと、SQLPrepare()を実行してから、SQLBindParameter()を実行するのですが、
        私が最初に知った言い方はプリペアドステートメントで、パラメタライズドクエリを知ったときは、
        へー、そういう言い方もあるのか、、と思ったものです。
        プレースホルダというと、DB用語ではない何か別のものを指すような印象を受けます。
        fooとかhogeなどメタ構文変数の様な感じがします。
        というわけなので、私はプリペアドステートメント派です。
        
        Re:バックドア？ (スコア:0)
        
        by Anonymous Coward on 2014年10月09日 12時21分 (#2690942)
        
        広義には後から実際のものを入れるために取っておく場所のことでしょうから
        広告やプレゼンのレイアウトレイアウトとか、そういうものを指すと思いますが、
        データーベースに適用しても全然違和感はないですね
        浩光センセーも言ってますしね
        http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html [atmarkit.co.jp]
        MS的にはパワーポイント用語ですか・・・
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Bugzillaに未解決の脆弱性が発見される More ログイン

「Bugzillaに未解決の脆弱性が発見される」記事へのコメント

バックドア？ (スコア:0)

Re: (スコア:4, 参考になる)

Re: (スコア:2, 興味深い)

Re: (スコア:0)

Re: (スコア:1)

Re:バックドア？ (スコア:0)

スラド