アカウント名:
パスワード:
「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。ヤバさがちゃんと伝わってないよ。。
とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。
「リモートから任意のコードを実行」と言っても、たいていは「悪意あるユーザが○○にアクセスできる状態であれば」といった前提条件付きのことも多いし。
で今回、自分もその類だと思っていて、ファイルアップロード処理が云々とかあるから、ファイルアップロードできる状態に限定されるのかとも思っていた。StrutsのMLに流れた修正版のリリースアナウンスも、"This release addresses one potential security vulnerability" なんて表現になっていた。正直、PoCコード見るまで緊急性を感じなかった。
「直ちにシステムを停止」という言い方が乱用されても困るけど、「『直ちにシステムを停止』してもいいぐらいのレベル」であることが伝わる必要があるのは同意。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
脆弱性アナウンスにも問題がある (スコア:0)
「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。
ヤバさがちゃんと伝わってないよ。。
とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。
Re:脆弱性アナウンスにも問題がある (スコア:0)
「リモートから任意のコードを実行」と言っても、
たいていは「悪意あるユーザが○○にアクセスできる状態であれば」
といった前提条件付きのことも多いし。
で今回、自分もその類だと思っていて、ファイルアップロード処理が云々とかあるから、
ファイルアップロードできる状態に限定されるのかとも思っていた。
StrutsのMLに流れた修正版のリリースアナウンスも、
"This release addresses one potential security vulnerability" なんて表現になっていた。
正直、PoCコード見るまで緊急性を感じなかった。
「直ちにシステムを停止」という言い方が乱用されても困るけど、
「『直ちにシステムを停止』してもいいぐらいのレベル」であることが伝わる必要があるのは同意。