ホーム > フォーラム > その他 > PHPの脆弱性について

PHPの脆弱性について
投稿者: wintermute | 投稿日時: 2005/11/2 14:59 | 閲覧: 34634回
wintermute
XOOPSに直接関係する訳ではありませんが、本日PHPに深刻な脆弱性がある事が発見されたらしいですね。

詳しい事はリンク先を見ていただくとして
http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/
http://blog.ohgaki.net/index.php/yohgaki/2005/11/02/phpa_rc_fei_a_oa_oa_fa_sa_le_acsa_oe_afp

フォーラムに投稿されている内容を見ると、自宅サーバという環境の方も結構見うけられますが、こういった情報にも目を光らせていなければ、XOOPS 自体のセキュリティが万全でも、水の泡となります。
ご注意を。

コメント(29)

Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは?←なんでユーザーをそこまでして過保護にさせなければならんのですか? 
投稿者: tohokuaiki | 投稿日時: 2005/11/8 2:16
tohokuaiki
素朴な疑問ですが。
引用:

xnoopyさんは書きました:
他のオープンソースのソフトウェアでは、開発者が即座に反応しているように思います。

どこのオープンソースのソフトウェアの開発者が今回の脆弱性の件について反応してるのですか?
phpMyAdmin
xaraya Japan
joomla
smarty
drupal
Mojavi
Ethna
Maple
Nucleus
b2evolution
serendipity

すみません、本当にわからなかったのです。

以前のXML-RPCについては、CMSやBlog系のサイトはもちろんすぐアナウンスしていましたが、それはその機能を使っているからですし。


しかし、minahitoさんのご説明は、ここに書くだけというのはもったいないですね。
で、XOOPSユーザーがあれ読んで本当に理解して安心するのかというのも甚だ疑問です。
Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: chatnoir | 投稿日時: 2005/11/8 2:20
chatnoir
ここだけ。
引用:

puchiさんは書きました:
担当の方がいても、その方がお仕事で何日もお忙しかったら対応は早くならないような気がします。早くという意味では有効に機能しないのではないでしょうか?

現状だと担当を絞ることで明らかに対応は遅くなると思います。

今回のような形でフォーラムで流れたりセキュリティニュースの掲載依頼があれば
現状でも、対応できることであれば対応できる人ができうる限り対応しています。。。
#やはりどうしても時差は生じますしいろいろご不満はあるかと存じますが。
#でも、今回の件にあたってはみな休日返上状態でしたよー(T-T

以下、個人的な意見-----
「出来る人が出来ることをする」というのが、妥当ではないでしょうか?
#コア・ユーザなどと分け隔てず、です。





Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: i16 | 投稿日時: 2005/11/8 6:33
i16
めちゃめちゃ久しぶりに書きますが i16 ですお久しぶり。

セキュリティニュースにユーザが投稿してモデレータが承認した場合、
というのは、モデレータが承認をしてるわけだから、
『これは「コアチームからの正式アナウンス」そのもの』、
のような気がするんですけど。

合ってますか?

で、これが合ってるとすれば、
セキュリティについて敏感なかた
(鈍感なかたはどこにも居ませんが
 敏感さが高度であり要求度の高いかたで
 コアチームである必要は全くない)
が投稿して、
つまり『情報を寄せ』て、
その情報に従って
『コアチームがアナウンスしたほうがいいと判断した』場合、
つまりモデレータが「承認」をクリックしたら、
『情報の深い検討や対策はまだ出来ていないがコアチームが正式に問題を認識し検討を始めるトリガーがあったと公知にした』状態、
つまり『何らかのアナウンスをすぐ出した』状態、
になると思います。

あんまりよっぽどならば関係者のケータイに連絡が行ったり、
本業の有給休暇を取ってでも欠勤してでも1週間後の重要な昇進試験を棒に振ってでも対応しようとする開発者もいるかもしれませんが、
そんな犠牲を強いる無理な歪んだ体制では開発は長続きしませんから後に保守が滞ったりして、
利用だけのタダ乗りの人とかが(万一もし居れば)一番困る事態になると思います。

オープンソースなんですし、
問題があれば、
その問題が問題になる人が
その『問題になる』というモティベーションを原動力にして解決していけば、
つまり要は、皆で協力して作っていけばいいでしょう。(^^)

皆というのがユーザも全部入っていて仲間はずれが居ないところが、
オープンソースの善いところなので(かつメンドクサイところでもあるわけですが)
そういうノリで行けばいいんでは(^^;;
Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: ksyuu | 投稿日時: 2005/11/8 9:33
ksyuu
引用:

Marijuanaさんは書きました:
引用:

1.フォーラムに「セキュリティ」カテゴリをつくれませんか。
セキュリティと言った重要な話題が,雑談と一緒に語られるのでは見逃される危険があります。
専用のカテゴリがあれば,OS や Webサーバのセキュリティ情報も書きやすくなると思います。

上にも書いたけど、AMPの駆け込み寺じゃありません。
AMPのセキュリティより、よっぽど3rdモジュールの方がやばいって

ええっと,何も AMP のサポートをしようって訳ではないです。単にどのソフトにセキュリティホールが見つかったよ,と伝えることを想定しています。
簡単な対処方法以上のことは,それぞれのコミュニティに誘導すればよいです。

引用:

引用:
2.コアチームにセキュリティ専門の担当を置いてください。

自分がやるとは言い出さないんですね。

申し訳ない,責任を持ってできるだけの力はないです。ただ,気軽に情報を出せるところがあれば,協力します。

引用:

引用:
かなり弱い,といったことではなく,看板です。

どの辺りが、看板になるほど脆弱なのか詳細を、コアチームに教えてあげてください。

マスメディアに出るときに,「セキュリティ担当者」の肩書きで発信されれば「セキュリティにかなり気を使っている」という評価につながります。

引用:

引用:
XOOPS のセキュリティに関する問題を発見したときに,「セキュリティ担当者」がいれば,発見者は悩むことなく適切なメンバーに連絡が取れます。

100や200人居るわけじゃないので、悩むほどじゃないでしょ?

否定はしません。この部分については,いるかいないか判らない,外部の報告者に余計な気を回しているだけとは思っています。

引用:

ここはXOOPS Cubeの公式サイトなんだから、XOOPS Cubeの情報が集まれば、それで良いじゃん。
それ以外が欲しいなら、それぞれのサイトで情報集めれば良いだけでしょ?手抜きしたいだけじゃない?
XOOPS Cubeの公式サイトに何を望んでんだか・・・

Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: ksyuu | 投稿日時: 2005/11/8 9:48
ksyuu
引用:

i16さんは書きました:
セキュリティニュースにユーザが投稿してモデレータが承認した場合、
というのは、モデレータが承認をしてるわけだから、
『これは「コアチームからの正式アナウンス」そのもの』、
のような気がするんですけど。


なるほど,確かにそのように取れますね。
puchiさんの提案もあったことですし,私が気が付いて「コアチームからのアナウンス」が必要と思ったものは,セキュリティニュースに投稿するようにします。


ただ,コアチームからのアナウンスにする必要がない,と思った情報は現状では「その他フォーラム」くらいしか投稿する場所はないですよね。こういった情報をまとめる場所は,やはり欲しいです。
Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: tadashi | 投稿日時: 2005/11/8 11:02
tadashi
引用:

ksyuuさんは書きました:
(略)
多くの XOOPSユーザがよりセキュアなサイトを運用してほしい,企業や潜在的なユーザに,XOOPS はセキュリティを重要視しているとアピールしたい,そういった考えで提案しています。


ksyuu さんの意見に賛同される方は、いらっしゃるでしょうか?

個人(コアチームではなくて)の意見ですが、今のコアチームはセキュリティ的にはよくやっているほうだと思います。だからこそ、ビジネス的にも使われるようになっているのだと思います。もちろん、現状のセキュリティ対応がまったく不足であると思う方が多いようでしたら、なにか手をうつ必要はあるかなとも思います。
ただ、現状で、ビジネス的に使っている方の多くは、XOOPSCUBEは、セキュリティ的にもよく対応しているという評価ではないでしょうか?
Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは?←なんでユーザーをそこまでして過保護にさせなければならんのですか? 
投稿者: xnoopy | 投稿日時: 2005/11/8 14:45
xnoopy
tohokuaikiさん、どうも。
引用:
コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは?←なんでユーザーをそこまでして過保護にさせなければならんのですか?

タイトルに「すべき」なんて付けたので、誤解を招きまくっているようですいませんです。セキュリティーについては、利用しているものの責任ですので、早めに対応して頂ければユーザとしての信頼も増すという程度の考えです。(もっとも本当に信頼でき安心してよいかは、ソースが自分で読めねば単なる信仰心でしょうが。)

引用:
どこのオープンソースのソフトウェアの開発者が今回の脆弱性の件について反応してるのですか?

これも書き方が足りませんでしたね。以前のXML-RPCの件などの時の話のつもりで書いてしまったものです。
私としては、Cubeのサイトはよくやっているほうだと思っていますし、非難するつもりは全くありません。単に重要なセキュリティー上の問題のように報道されていたために、今回は反応が遅いのではないかと思ったために書き込みました。

今回のminahitoさん、nobunobuさんの対応は非常に真摯で感激しましたし、Marijuanaさんの指摘から始まったモジュールの修正ラッシュを見ても、きちんと指摘すれば対応して頂けるモジュール作者さんが多いこともCubeに対する信頼度のアップにつながったと思います。
Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: dendeke | 投稿日時: 2005/11/8 17:30
dendeke
みなさん、こんにちわ。

引用:

tadashiさんは書きました:
引用:

ksyuuさんは書きました:
(略)
多くの XOOPSユーザがよりセキュアなサイトを運用してほしい,企業や潜在的なユーザに,XOOPS はセキュリティを重要視しているとアピールしたい,そういった考えで提案しています。


ksyuu さんの意見に賛同される方は、いらっしゃるでしょうか?


何をもって「XOOPSユーザがよりセキュアなサイトを運営してほしい」とするか、によりますよね。

「よりセキュアなサイトを運営してほしい」というのがこの公式サイトのことを意味するのであれば、「現在はセキュアなサイトとしてはまだまだ足りない」という意味にもとれますが、自分はそう思っていません(実際、この公式サイトがセキュリティ的に甘くてハックされたりクラックされたりしたことありますか?)

XOOPS Cubeのコアチームは、XOOPS Cubeのコアに関するセキュリティをしっかりやっていただければそれでいいと思いますし、その点は現在すでに実現できているレベルだと思っていますし、XOOPS Cubeプロジェクトが誕生するきっかけにもなった大きな目的ですよね。

先にも書きましたが、ニュースに「セキュリティアップデート」の投稿が可能になっているわけですから、気づいた人が投稿すればいいだけのことで、問題は、そういう今ある機能をみんながキチンと使っていないことではないでしょうか?

今回はPHPに関連してこのようなスレッドの流れになっていますけど、XOOPS Cubeを運営するには当然のことながらapacheなどのWebサーバも必要なわけで、たとえばapacheの新バージョンが出たら、これもコアチームの人にアナウンスを求めるつもりですか?

サードパーティ製のモジュールについてもしかり、人それぞれ異なるものを利用しているOSについても同じことが言えますよね。

「セキュリティ」に関するフォーラムを作っては? という意見もありましたが、これまでのフォーラムへの投稿などを見ていると、「セキュリティ」フォーラムはXOOPS Cube関係というよりOSやらapacheやら自ら情報を集めて管理しなければならないような部分に関する質問ばかりが投稿されそうな気がするのは自分だけでしょうか?
Re: コアメンバーの方々はこういった場合、何らかのアナウンスをすぐ出すべきでは? 
投稿者: hirahira | 投稿日時: 2005/11/10 16:31
hirahira
こんにちは(^O^)/

セキュリティに関する情報があったらコアチームのどなたかが反応を示し(○○というセキュリティの問題が報告されました。これから現在のXOOPSに対しての影響を検証の上、ご報告いたします。お待ちください・・・のような)、コアチームは、この問題提起を認識しましたよ、とアナウンスがあって、検証後には公式に報告をすればよろしいのではないでしょうか?
この辺がユーザーにとっても安心できますし、コアチームの方々にとっても一番負担が少ないのではないかと思います。
セキュリティ関連のカテゴリーがあっても良いかも知れませんが、すべて運用次第だと思います。サーバーや、OSなどのセキュリティの話であっても、XOOPS自体はそれらの上に乗っかって動くわけですからサーバー屋さんごとにスレッドたてても良いわけですしね。必ずしも、無意味とは思わないですが、とうぜん、コアチームがこのカテゴリに関与する義務を負う必要性はないというレベルでよいと思います。当たり前ですが、コアチームの方々といえど、すべての環境を検証することは出来ないからです。
サーバーや、OSに詳しい人は他にもたくさんいるはずですから、そういう人たちがフォローすればよろしいのではないでしょうか?
セキュリティ担当者云々も良いかも知れませんが、あたしはそれよりも、サイトで過去の事例の検証検索も出来ない(しない)様なユーザーに対してわざわざ担当者を置くというような状況には賛成したくないですね。
有料のアプリケーションではないのですから、とにかく自分で調べる!調べきれなかったらすごすごと質問する!くらいのユーザーのレベルアップの方がよっぽど要求されるべき事かと思います。

余談ですが、引用が多いのは非常に見苦しいと感じます。引用が多いのは「自己弁護」に見えてしまう事が多いという大昔からの経験ですが(^-^;△フキフキ。
読んでいても読みづらい(;>_<;)ビェェン

一部、言葉を間違えて記述してました<(__)>

投票(0)

新しいものから | 古いものから | RSS feed
 
To Top