Nucleus が大変

多機能 CMS「Nucleus」が脆弱性問題で揺れているようです。

事の発端は2006年8月27日、公式フォーラムに投稿された「プラグインのセキュリティリスクについて」という一つのスレッド。
特定のプラグインにはクロスサイトスクリプティング(XSS)や SQL インジェクション出来る脆弱性が存在するという趣旨のスレッドです。
脆弱性を告知する事は悪い事ではありませんが、問題だったのはセキュリティホールのあるプラグインを名指ししてしまった事(しかもプラグイン作者に事前の連絡も入れずに)でしょう。
スレッド内でも議論されていますが、対策が講じられる前に脆弱性が公表されてしまうと、その脆弱性を狙い撃ちにした攻撃も可能になってしまいます。順序としてはプラグイン作者に一報を入れて修正されてから、脆弱性を公表する事が望ましかったと思われます。

しかし Nucleus コミュニティーにとってさらに痛手だったのは、この事件を発端にしてプラグイン作者様のサイト「Nucleusの使い方」と「サイケデリックビビアン」が次々と閉鎖してしまった事でしょう。
どちらも数多くのプラグインを開発・配布されていたサイトだっただけに、Nucleus 界ではこの損失を惜しむ声が聞こえます。

ただ、今回の件は全て悪い事ばかりだったわけではなく、今後二度とこのような事態が起きないような体制作りが進められているようです。現時点でも

  • プラグインとコアの脆弱性を解決するプラグインのリリース

  • プラグインのセキュリティ対策メーリングリストの発足


のように動き出しています。

BlognPlus ユーザーとしては BlognPlus 及びそのモジュールのセキュリティリスクについても気になる所です。
現時点では脆弱性があるという報告はありませんが、気付かれていないというだけかもしれませんので油断は禁物。

ちなみに TEXT 版 BlognPlus を使っている限りは SQL インジェクションは起こりえないので心配しなくても大丈夫です。

| 管理人の独り言::雑談 | 2006-10-05 | comments (0) | trackback (0) |


評価

この記事の平均評価: (1人)

記事を評価してください(★1つ=悪い、★5つ=良い)


コメント


コメントする



<






モジュールに関するご質問・ご要望は公式コミュニティかモジュール作者様のサイトへお願いします。


この記事のトラックバックURL

http://i-njoy.net/blognplus/tb.php/167


トラックバック

| PAGE TOP |

サイト内検索

スポンサード リンク

カテゴリー

人気記事

  1. PHP情報について知る: phpinfo()
  2. Terapad で文字コードの確認
  3. BlognPlus 用スキン一覧が完成
  4. BlognPlus 用「mobilelist.cgi」(2008年5月版)
  5. データの移行方法
  6. RSS でパースエラーが発生する
  7. B's Laboratory
  8. 2006年7月24日~30日の更新情報
  9. 2007年2月19日~25日の更新情報
  10. トラックバックが送信できない
  11. land.to で文字化けする
  12. 「BlognPlus を使おう!」リニューアル
  13. 「コメントスパム対策モジュール ver3.00」テスト続報
  14. Terapad のおすすめ設定
  15. シングルカラム
  16. Podcasting (ポッドキャスティング) したい
  17. テキスト/MySQL/PostgreSQL版の違い
  18. トラックバックスパム対策モジュール
  19. BlognPlus Filter Plugin
  20. BlognPlus スキン配布処

POWERED BY

BLOGNPLUS(ぶろぐん+)