アカウント名:
パスワード:
修正された問題のうち、ハッシュテーブルの脆弱性について。
リンク先を読むと、ASP.NET以外にJava/JavaScript/Perl/PHP/Pyhon/Rubyの各実装でも検証されており、その結果、PerlとRuby 1.9系以外のすべての言語実装で同様の脆弱性があることが報告されています。また、Ruby 1.8系については、報告を受けて既に脆弱性がふさがれたバージョンがリリースされているようです。(「Rubyの開発コミュニティはvery helpfulであり、この問題を真剣に受け止めてくれた」と謝辞が記されています。)
というわけで、Ruby 1.8系とASP.NETベースのWebシステムの管理者はアップデートを検討したほうがいいかもしれません。
他の言語のシステムは…どうしましょうね。まあDoS攻撃を容易にする類の脆弱性なので、標的にされたらあきらめる、という対応でも仕方ないかもしれません。いずれにしろDoS攻撃を完全に防ぐことはできませんし。
PHPについては以下のサイトに対策がまとまっています。脆弱性の中身が詳述されているので、他の言語の人にも役立つかも。
徳丸浩の日記http://blog.tokumaru.org/2011/12/webdoshashdos.html [tokumaru.org]
POSTの最大サイズを制限すればとりあえず大丈夫っぽい。
Apacheでの対策については(Apacheを使っていれば)他言語で書かれたWebアプリケーションにも適用できそうですね。
…いやその対策は大丈夫とは言い難いんじゃね?副作用で動かなくなるアプリケーションもあるだろうし、サーバ側で保持して連想配列化するようなプロパティは保護できないし。連想配列の実装自体が問題なんだから、連想配列の実装自体を変えない後付の対応は本質的に無意味なはず。言語実装レベルでの修正を待つのが正解で、この対策はDoSを被弾している真っ最中な本気の緊急事態に仕方なく適応するようなレベルの付け焼刃だと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
他の言語利用者も注意 (スコア:5, 参考になる)
修正された問題のうち、ハッシュテーブルの脆弱性について。
リンク先を読むと、ASP.NET以外にJava/JavaScript/Perl/PHP/Pyhon/Rubyの各実装でも検証されており、その結果、PerlとRuby 1.9系以外のすべての言語実装で同様の脆弱性があることが報告されています。
また、Ruby 1.8系については、報告を受けて既に脆弱性がふさがれたバージョンがリリースされているようです。
(「Rubyの開発コミュニティはvery helpfulであり、この問題を真剣に受け止めてくれた」と謝辞が記されています。)
というわけで、Ruby 1.8系とASP.NETベースのWebシステムの管理者はアップデートを検討したほうがいいかもしれません。
他の言語のシステムは…どうしましょうね。
まあDoS攻撃を容易にする類の脆弱性なので、標的にされたらあきらめる、という対応でも仕方ないかもしれません。
いずれにしろDoS攻撃を完全に防ぐことはできませんし。
Re:他の言語利用者も注意 (スコア:2, 参考になる)
PHPについては以下のサイトに対策がまとまっています。
脆弱性の中身が詳述されているので、他の言語の人にも役立つかも。
徳丸浩の日記
http://blog.tokumaru.org/2011/12/webdoshashdos.html [tokumaru.org]
POSTの最大サイズを制限すればとりあえず大丈夫っぽい。
Re: (スコア:0)
Apacheでの対策については(Apacheを使っていれば)他言語で書かれたWebアプリケーションにも適用できそうですね。
Re: (スコア:0)
…いやその対策は大丈夫とは言い難いんじゃね?
副作用で動かなくなるアプリケーションもあるだろうし、サーバ側で保持して連想配列化するようなプロパティは保護できないし。
連想配列の実装自体が問題なんだから、連想配列の実装自体を変えない後付の対応は本質的に無意味なはず。
言語実装レベルでの修正を待つのが正解で、この対策はDoSを被弾している真っ最中な本気の緊急事態に仕方なく適応するようなレベルの付け焼刃だと思う。