Nucleus が大変

多機能 CMS「Nucleus」が脆弱性問題で揺れているようです。

事の発端は2006年8月27日、公式フォーラムに投稿された「プラグインのセキュリティリスクについて」という一つのスレッド。
特定のプラグインにはクロスサイトスクリプティング(XSS)や SQL インジェクション出来る脆弱性が存在するという趣旨のスレッドです。
脆弱性を告知する事は悪い事ではありませんが、問題だったのはセキュリティホールのあるプラグインを名指ししてしまった事(しかもプラグイン作者に事前の連絡も入れずに)でしょう。
スレッド内でも議論されていますが、対策が講じられる前に脆弱性が公表されてしまうと、その脆弱性を狙い撃ちにした攻撃も可能になってしまいます。順序としてはプラグイン作者に一報を入れて修正されてから、脆弱性を公表する事が望ましかったと思われます。

しかし Nucleus コミュニティーにとってさらに痛手だったのは、この事件を発端にしてプラグイン作者様のサイト「Nucleusの使い方」と「サイケデリックビビアン」が次々と閉鎖してしまった事でしょう。
どちらも数多くのプラグインを開発・配布されていたサイトだっただけに、Nucleus 界ではこの損失を惜しむ声が聞こえます。

ただ、今回の件は全て悪い事ばかりだったわけではなく、今後二度とこのような事態が起きないような体制作りが進められているようです。現時点でも

  • プラグインとコアの脆弱性を解決するプラグインのリリース

  • プラグインのセキュリティ対策メーリングリストの発足


のように動き出しています。

BlognPlus ユーザーとしては BlognPlus 及びそのモジュールのセキュリティリスクについても気になる所です。
現時点では脆弱性があるという報告はありませんが、気付かれていないというだけかもしれませんので油断は禁物。

ちなみに TEXT 版 BlognPlus を使っている限りは SQL インジェクションは起こりえないので心配しなくても大丈夫です。

| 管理人の独り言::雑談 | 2006-10-05 | comments (0) | trackback (0) |


評価

この記事の平均評価: (1人)

記事を評価してください(★1つ=悪い、★5つ=良い)


コメント



トラックバック

| PAGE TOP |

サイト内検索

スポンサード リンク

カテゴリー

人気記事

  1. 2カラム(右サイドバー)
  2. BlognPlus Filter Plugin
  3. 「BlognPlus を使おう!」アドレス変更のお知らせ
  4. このブログで使っているスキン
  5. スパム対策の新しい試み
  6. vivid*face
  7. 2007年2月19日~25日の更新情報
  8. Terapad で文字コードの確認
  9. 予約投稿に関するバグ(Text版)
  10. 表示モード別分岐タグ
  11. 記事内でタグがそのまま表示されてしまう
  12. Nucleus が大変
  13. アクセス制限が機能しない(Text版)
  14. A DAY IN THE LiFE
  15. CGI 版 PHP でインストール出来ません
  16. お知らせ表示モジュール
  17. blog_700km
  18. フラッシュカレンダーモジュール
  19. 掲示板を設置してみました
  20. OBIP (Other Blog Image Pickup)

POWERED BY

BLOGNPLUS(ぶろぐん+)