Nucleus が大変

多機能 CMS「Nucleus」が脆弱性問題で揺れているようです。

事の発端は2006年8月27日、公式フォーラムに投稿された「プラグインのセキュリティリスクについて」という一つのスレッド。
特定のプラグインにはクロスサイトスクリプティング(XSS)や SQL インジェクション出来る脆弱性が存在するという趣旨のスレッドです。
脆弱性を告知する事は悪い事ではありませんが、問題だったのはセキュリティホールのあるプラグインを名指ししてしまった事(しかもプラグイン作者に事前の連絡も入れずに)でしょう。
スレッド内でも議論されていますが、対策が講じられる前に脆弱性が公表されてしまうと、その脆弱性を狙い撃ちにした攻撃も可能になってしまいます。順序としてはプラグイン作者に一報を入れて修正されてから、脆弱性を公表する事が望ましかったと思われます。

しかし Nucleus コミュニティーにとってさらに痛手だったのは、この事件を発端にしてプラグイン作者様のサイト「Nucleusの使い方」と「サイケデリックビビアン」が次々と閉鎖してしまった事でしょう。
どちらも数多くのプラグインを開発・配布されていたサイトだっただけに、Nucleus 界ではこの損失を惜しむ声が聞こえます。

ただ、今回の件は全て悪い事ばかりだったわけではなく、今後二度とこのような事態が起きないような体制作りが進められているようです。現時点でも

  • プラグインとコアの脆弱性を解決するプラグインのリリース

  • プラグインのセキュリティ対策メーリングリストの発足


のように動き出しています。

BlognPlus ユーザーとしては BlognPlus 及びそのモジュールのセキュリティリスクについても気になる所です。
現時点では脆弱性があるという報告はありませんが、気付かれていないというだけかもしれませんので油断は禁物。

ちなみに TEXT 版 BlognPlus を使っている限りは SQL インジェクションは起こりえないので心配しなくても大丈夫です。

| 管理人の独り言::雑談 | 2006-10-05 | comments (0) | trackback (0) |


評価

この記事の平均評価: (1人)

記事を評価してください(★1つ=悪い、★5つ=良い)


コメント



トラックバック

| PAGE TOP |

サイト内検索

スポンサード リンク

カテゴリー

人気記事

  1. PHP情報について知る: phpinfo()
  2. Terapad で文字コードの確認
  3. データの移行方法
  4. 検索語ハイライトモジュール
  5. 人気記事ランキング作成モジュール
  6. FFFTP のおすすめ設定
  7. モジュールを導入する事で新機能を追加出来る
  8. トラックバックスパム対策モジュール
  9. カルカン(カウンター)
  10. 携帯閲覧時に画像が表示されない
  11. コメントスパム対策モジュール
  12. 記事が投稿できない(ファイルはビジーです)
  13. BlognPlus 用「mobilelist.cgi」(2009年2月版)
  14. BlognPlus 用「mobilelist.cgi」(2010年10月版)
  15. フラッシュカレンダーモジュール
  16. BlognPlus 用「mobilelist.cgi」(2008年10月版)
  17. 日付用 フォーマット文字列
  18. テキスト/MySQL/PostgreSQL版の違い
  19. BlognPlus 用「mobilelist.cgi」(2008年8月版)
  20. 2007年2月19日~25日の更新情報

POWERED BY

BLOGNPLUS(ぶろぐん+)