Nucleus が大変

多機能 CMS「Nucleus」が脆弱性問題で揺れているようです。

事の発端は2006年8月27日、公式フォーラムに投稿された「プラグインのセキュリティリスクについて」という一つのスレッド。
特定のプラグインにはクロスサイトスクリプティング(XSS)や SQL インジェクション出来る脆弱性が存在するという趣旨のスレッドです。
脆弱性を告知する事は悪い事ではありませんが、問題だったのはセキュリティホールのあるプラグインを名指ししてしまった事(しかもプラグイン作者に事前の連絡も入れずに)でしょう。
スレッド内でも議論されていますが、対策が講じられる前に脆弱性が公表されてしまうと、その脆弱性を狙い撃ちにした攻撃も可能になってしまいます。順序としてはプラグイン作者に一報を入れて修正されてから、脆弱性を公表する事が望ましかったと思われます。

しかし Nucleus コミュニティーにとってさらに痛手だったのは、この事件を発端にしてプラグイン作者様のサイト「Nucleusの使い方」と「サイケデリックビビアン」が次々と閉鎖してしまった事でしょう。
どちらも数多くのプラグインを開発・配布されていたサイトだっただけに、Nucleus 界ではこの損失を惜しむ声が聞こえます。

ただ、今回の件は全て悪い事ばかりだったわけではなく、今後二度とこのような事態が起きないような体制作りが進められているようです。現時点でも

  • プラグインとコアの脆弱性を解決するプラグインのリリース

  • プラグインのセキュリティ対策メーリングリストの発足


のように動き出しています。

BlognPlus ユーザーとしては BlognPlus 及びそのモジュールのセキュリティリスクについても気になる所です。
現時点では脆弱性があるという報告はありませんが、気付かれていないというだけかもしれませんので油断は禁物。

ちなみに TEXT 版 BlognPlus を使っている限りは SQL インジェクションは起こりえないので心配しなくても大丈夫です。

| 管理人の独り言::雑談 | 2006-10-05 | comments (0) | trackback (0) |


評価

この記事の平均評価: (1人)

記事を評価してください(★1つ=悪い、★5つ=良い)


コメント



トラックバック

| PAGE TOP |

サイト内検索

スポンサード リンク

カテゴリー

人気記事

  1. BlognPlus が v2.5.4 にバージョンアップ
  2. Terapad で文字コードの確認
  3. BlognPlus 用「mobilelist.cgi」(2009年2月版)
  4. BlognPlus 用「mobilelist.cgi」(2008年8月版)
  5. Nucleus が大変
  6. 2006年12月25日~31日の更新情報
  7. 2006年3月8日~13日の更新履歴
  8. 画像認証モジュールの比較
  9. BlognPlus v2.6.1 スキンで気をつけるべき点
  10. 記事投稿時、絵文字挿入/タグ入力が機能しない
  11. モジュールの更新情報(9月前半)
  12. トラックバックにサイトのサムネイルを表示する改造
  13. BlognPlus 用「mobilelist.cgi」(2008年5月版)
  14. BlognPlus v2.6.2 がリリースされました
  15. BlognPlus が v2.5.3 にバージョンアップ
  16. 正式版とプレリリース版の違い
  17. BlognPlus をバージョンアップしたら Fatal Error
  18. 記事が投稿できない(ファイルはビジーです)
  19. 新規投稿すると記事IDが「1」になってしまう(TEXT版)
  20. 2006年9月4日~10日の更新情報

POWERED BY

BLOGNPLUS(ぶろぐん+)