Nucleus が大変

多機能 CMS「Nucleus」が脆弱性問題で揺れているようです。

事の発端は2006年8月27日、公式フォーラムに投稿された「プラグインのセキュリティリスクについて」という一つのスレッド。
特定のプラグインにはクロスサイトスクリプティング(XSS)や SQL インジェクション出来る脆弱性が存在するという趣旨のスレッドです。
脆弱性を告知する事は悪い事ではありませんが、問題だったのはセキュリティホールのあるプラグインを名指ししてしまった事(しかもプラグイン作者に事前の連絡も入れずに)でしょう。
スレッド内でも議論されていますが、対策が講じられる前に脆弱性が公表されてしまうと、その脆弱性を狙い撃ちにした攻撃も可能になってしまいます。順序としてはプラグイン作者に一報を入れて修正されてから、脆弱性を公表する事が望ましかったと思われます。

しかし Nucleus コミュニティーにとってさらに痛手だったのは、この事件を発端にしてプラグイン作者様のサイト「Nucleusの使い方」と「サイケデリックビビアン」が次々と閉鎖してしまった事でしょう。
どちらも数多くのプラグインを開発・配布されていたサイトだっただけに、Nucleus 界ではこの損失を惜しむ声が聞こえます。

ただ、今回の件は全て悪い事ばかりだったわけではなく、今後二度とこのような事態が起きないような体制作りが進められているようです。現時点でも

  • プラグインとコアの脆弱性を解決するプラグインのリリース

  • プラグインのセキュリティ対策メーリングリストの発足


のように動き出しています。

BlognPlus ユーザーとしては BlognPlus 及びそのモジュールのセキュリティリスクについても気になる所です。
現時点では脆弱性があるという報告はありませんが、気付かれていないというだけかもしれませんので油断は禁物。

ちなみに TEXT 版 BlognPlus を使っている限りは SQL インジェクションは起こりえないので心配しなくても大丈夫です。

| 管理人の独り言::雑談 | 2006-10-05 | comments (0) | trackback (0) |


評価

この記事の平均評価: (1人)

記事を評価してください(★1つ=悪い、★5つ=良い)


コメント


コメントする



<






モジュールに関するご質問・ご要望は公式コミュニティかモジュール作者様のサイトへお願いします。


この記事のトラックバックURL

https://i-njoy.net/blognplus/tb.php/167


トラックバック

| PAGE TOP |

サイト内検索

スポンサード リンク

カテゴリー

人気記事

  1. PHP情報について知る: phpinfo()
  2. 記事が投稿できない(ファイルはビジーです)
  3. ユーザーIDとパスワードを忘れてしまいログイン出来ません
  4. BlognPlus がバージョンアップ
  5. 記事が投稿できない(ファイルに書き込むことが出来ません)
  6. 500 エラーが発生する
  7. Terapad で文字コードの確認
  8. モジュール・オーガナイザー
  9. 2006年5月22日~28日の更新情報
  10. BlognPlus 用スキン一覧が完成
  11. BlognPlus v2.3.2
  12. 「mobilelist.cgi」をダウンロードされた方へ
  13. Terapad のおすすめ設定
  14. 2006年3月14日~19日の更新履歴
  15. Blogn → BlognPlus に移行すると文字化けする
  16. BlognPlus 用「mobilelist.cgi」(2008年10月版)
  17. BlognPlus とコメントスパム
  18. アクセス制限が機能しない(Text版)
  19. データの移行方法
  20. BlognPlus 用「mobilelist.cgi」(随時更新中)

POWERED BY

BLOGNPLUS(ぶろぐん+)