アカウント名:
パスワード:
官公庁のシステム構築入札の条件には必ずと言っていいほどWindowsServerを使うことって書かれている。といって、WindowsUpdateが適切に行われているわけではない。
WindowsUpdateになんの関係が???
大元の書き込みは既知の脆弱性対策が適切に行われているとは限らないという意味の書き込みでは。 ていうか、使用しているソフトウェア・ハードウェアの既知の脆弱性に適切に対応している場合、クラックされた側を責めるのはおかしい気もする。
ミドルの脆弱性の場合、「画面のプログラムに欠陥が見つかった」という言い方はしないから、普通にアプリのバグでは?
アプリ側が適切にサニタイジングしてなくて、パッチ当ててないミドルの脆弱性を突かれた とかじゃないかなぁ。
不正書き込みぐらいならXSS等の可能性もあるが、Web書き換えとなると、投稿フォームの脆弱性だけでは出来ない気がする。
「投稿単位でファイルを作成する仕様で、ファイル名は一度hiddenフィールド経由した上ノーチェック」とかだとフォームの穴で任意ファイル作成が実行可能になるかと。でも多分もっと酷くて、cgiがシェルスクリプトや実行ファイルでエスケープ不適切とかの類じゃないかな。これだと一発で任意コマンドをリモート実行可能になる。
そんなバカな……と思うかも知れないが、LaFoneraって格安ルータは内向きの設定画面にそのバグがあった。おまけにsshサーバも起動設定無しで搭載されていたためそれ起動しておもちゃに出来たという……
そもそもちゃんとメンテするか否かにOS関係ないような。
え?WindowsもUpdateによるけど再起動必須ではないよ?
元のコメントのアホっぽさは置いておくとしてWindowsの場合、ほぼ毎月のように再起動要求されるだろ。再起動するまで更新プログラムの適用が終了せず脆弱なままなのでさっさと再起動しろよ。
Linuxだって既にメモリにロードされているプロセスが更新される仕組みでは無いだろ。更新が入ったサービスくらいは再起動しろよ。
Windowsの場合、ほぼ毎月のように再起動要求されるだろ。再起動するまで更新プログラムの適用が終了せず脆弱なままなのでさっさと再起動しろよ。
デスクトップ版Windowsと混同してねーか?Windows Serverだと再起動必須は滅多にねーぞ(ミドルの作りがタコ出システムファイル握り続ける場合を除く)
え?毎月リブートしてるけど
アルファベットもすべて全角で「!」連発のコメントにクラクラした。似たような文体のコメントは全て同一AC様でしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
自業自得 (スコア:-1)
官公庁のシステム構築入札の条件には必ずと言っていいほどWindowsServerを使うことって書かれている。
といって、WindowsUpdateが適切に行われているわけではない。
Re:自業自得 (スコア:0)
WindowsUpdateになんの関係が???
想定される適切な対策 (スコア:2)
大元の書き込みは既知の脆弱性対策が適切に行われているとは限らないという意味の書き込みでは。
ていうか、使用しているソフトウェア・ハードウェアの既知の脆弱性に適切に対応している場合、クラックされた側を責めるのはおかしい気もする。
Re:想定される適切な対策 (スコア:1)
ミドルの脆弱性の場合、「画面のプログラムに欠陥が見つかった」という言い方はしないから、
普通にアプリのバグでは?
Re: (スコア:0)
アプリ側が適切にサニタイジングしてなくて、パッチ当ててないミドルの脆弱性を突かれた とかじゃないかなぁ。
不正書き込みぐらいならXSS等の可能性もあるが、Web書き換えとなると、投稿フォームの脆弱性だけでは出来ない気がする。
Re: (スコア:0)
「投稿単位でファイルを作成する仕様で、ファイル名は一度hiddenフィールド経由した上ノーチェック」
とかだとフォームの穴で任意ファイル作成が実行可能になるかと。
でも多分もっと酷くて、cgiがシェルスクリプトや実行ファイルでエスケープ不適切とかの類じゃないかな。
これだと一発で任意コマンドをリモート実行可能になる。
そんなバカな……と思うかも知れないが、LaFoneraって格安ルータは内向きの設定画面にそのバグがあった。
おまけにsshサーバも起動設定無しで搭載されていたためそれ起動しておもちゃに出来たという……
Re: (スコア:0)
そもそもちゃんとメンテするか否かにOS関係ないような。
Re: (スコア:0)
え?
WindowsもUpdateによるけど再起動必須ではないよ?
Re: (スコア:0)
元のコメントのアホっぽさは置いておくとして
Windowsの場合、ほぼ毎月のように再起動要求されるだろ。
再起動するまで更新プログラムの適用が終了せず脆弱なままなので
さっさと再起動しろよ。
Linuxだって既にメモリにロードされているプロセスが更新される
仕組みでは無いだろ。更新が入ったサービスくらいは再起動しろよ。
Re: (スコア:0)
Windowsの場合、ほぼ毎月のように再起動要求されるだろ。
再起動するまで更新プログラムの適用が終了せず脆弱なままなので
さっさと再起動しろよ。
デスクトップ版Windowsと混同してねーか?
Windows Serverだと再起動必須は滅多にねーぞ(ミドルの作りがタコ出システムファイル握り続ける場合を除く)
Re: (スコア:0)
え?毎月リブートしてるけど
Re: (スコア:0)
アルファベットもすべて全角で「!」連発のコメントにクラクラした。
似たような文体のコメントは全て同一AC様でしょうか。