アカウント名:
パスワード:
本丸である「Apache.org」に浸入される体たらくで、こいつらが関わってるソフトウェアのセキュリティ品質を信用できるのか?
と言われたら、なんと答えます?
信用できないのでぜひIISで。とMSは答えるでしょう。
# IIS は lighttpd または tux など任意に変更してください。
このような問題が一切、目に入らずにオープンソースの脆弱性ばかり目に付く人もいるのでしょうね。 IIS で FTP でファイルアップロードを許可してるサーバーはパスワードもへったくれも無くてやられるって事? これ、ゼロデイだし、発覚したばかりだから、こっちもソピックス上げたほうがいいんじゃないかな。
ネタにマジレス格好悪い。
その脆弱性を突いて攻撃を成功させるには少なくとも
のどちらかが必要だが、2番目は脆弱性以前に危険な状況なので論外。今回のFTP脆弱性も、少し前にあったWebDAVの脆弱性もデフォルトでは無効になっている機能で影響を受けないし、あえてセキュリティ的に弱い方向へ設定を変更しない限りまず影響を受けない類のもの。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
質問です (スコア:0)
本丸である「Apache.org」に浸入される体たらくで、こいつらが
関わってるソフトウェアのセキュリティ品質を信用できるのか?
と言われたら、なんと答えます?
Re: (スコア:1)
信用できないのでぜひIISで。
とMSは答えるでしょう。
# IIS は lighttpd または tux など任意に変更してください。
Re:質問です (スコア:2)
インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される
このような問題が一切、目に入らずにオープンソースの脆弱性ばかり目に付く人もいるのでしょうね。
IIS で FTP でファイルアップロードを許可してるサーバーはパスワードもへったくれも無くてやられるって事? これ、ゼロデイだし、発覚したばかりだから、こっちもソピックス上げたほうがいいんじゃないかな。
Re:質問です (スコア:1)
ネタにマジレス格好悪い。
その脆弱性を突いて攻撃を成功させるには少なくとも
のどちらかが必要だが、2番目は脆弱性以前に危険な状況なので論外。
今回のFTP脆弱性も、少し前にあったWebDAVの脆弱性もデフォルトでは無効になっている機能で影響を受けないし、あえてセキュリティ的に弱い方向へ設定を変更しない限りまず影響を受けない類のもの。
Re:質問です (スコア:1, 参考になる)
IIS 5.xの脆弱性の数は多いけれども。
IIS 6.0では、ASPやASP.NETなんかの既定で有効にならないモジュールを除くと1つくらいしかない。
FTPサービスは既定で有効にはなっていません。
WebDAVも同様です。好印象のないFrontPage Server Extensionも。
サーバーの役割には追加されていないサービスとなっています。
(2003年から現在までで見つかった数)
IIS 6.0の役割を有効にした最初の状態では脆弱性は1つ (だったかな。2つはない。)。
IIS 6.0で提供できるサービスを全部有効にしたら7つ。
ただ、既定で有効ではないと言っても使っている人がいるので対処する必要がありますね。
それでもなんだかんだで一部では煙たがられているようですが、なんなんでしょ。
私は既にIIS自体は信頼できる部品の一つとして見ていますが。