Nucleus が大変

多機能 CMS「Nucleus」が脆弱性問題で揺れているようです。

事の発端は2006年8月27日、公式フォーラムに投稿された「プラグインのセキュリティリスクについて」という一つのスレッド。
特定のプラグインにはクロスサイトスクリプティング(XSS)や SQL インジェクション出来る脆弱性が存在するという趣旨のスレッドです。
脆弱性を告知する事は悪い事ではありませんが、問題だったのはセキュリティホールのあるプラグインを名指ししてしまった事(しかもプラグイン作者に事前の連絡も入れずに)でしょう。
スレッド内でも議論されていますが、対策が講じられる前に脆弱性が公表されてしまうと、その脆弱性を狙い撃ちにした攻撃も可能になってしまいます。順序としてはプラグイン作者に一報を入れて修正されてから、脆弱性を公表する事が望ましかったと思われます。

しかし Nucleus コミュニティーにとってさらに痛手だったのは、この事件を発端にしてプラグイン作者様のサイト「Nucleusの使い方」と「サイケデリックビビアン」が次々と閉鎖してしまった事でしょう。
どちらも数多くのプラグインを開発・配布されていたサイトだっただけに、Nucleus 界ではこの損失を惜しむ声が聞こえます。

ただ、今回の件は全て悪い事ばかりだったわけではなく、今後二度とこのような事態が起きないような体制作りが進められているようです。現時点でも

  • プラグインとコアの脆弱性を解決するプラグインのリリース

  • プラグインのセキュリティ対策メーリングリストの発足


のように動き出しています。

BlognPlus ユーザーとしては BlognPlus 及びそのモジュールのセキュリティリスクについても気になる所です。
現時点では脆弱性があるという報告はありませんが、気付かれていないというだけかもしれませんので油断は禁物。

ちなみに TEXT 版 BlognPlus を使っている限りは SQL インジェクションは起こりえないので心配しなくても大丈夫です。

| 管理人の独り言::雑談 | 2006-10-05 | comments (0) | trackback (0) |


評価

この記事の平均評価: (1人)

記事を評価してください(★1つ=悪い、★5つ=良い)


コメント



トラックバック

| PAGE TOP |

サイト内検索

スポンサード リンク

カテゴリー

人気記事

  1. BlognPlus 用「mobilelist.cgi」(2008年8月版)
  2. PHP情報について知る: phpinfo()
  3. Terapad で文字コードの確認
  4. 500 エラーが発生する
  5. BlognPlus 用「mobilelist.cgi」(2008年1月版)
  6. 予約投稿に関するバグ(Text版)
  7. vivid*face
  8. 記事内でタグがそのまま表示されてしまう
  9. 日付の曜日を日本語にしたい
  10. ユーザーIDとパスワードを忘れてしまいログイン出来ません
  11. 日付用 フォーマット文字列
  12. 2007年2月19日~25日の更新情報
  13. 「コメントスパム対策モジュール ver3.00」テスト中
  14. FFFTP のおすすめ設定
  15. BBS(掲示板)モジュール
  16. モジュールの更新情報(1月後半)
  17. 2カラム(右サイドバー)
  18. Windows Live Writer 設定編
  19. お知らせ表示モジュール
  20. モジュールの更新情報(5月前半)

POWERED BY

BLOGNPLUS(ぶろぐん+)