2006年7月12日

[ruby-list:42579] Re: JVN、スクリプト言語「Ruby」の2件の脆弱性情報を公表

In article <87irm334qa.wl%kazuhiko@xxxxx>,
Kazuhiko writes:

>> $SAFE=4に関連するものですから、問題になるのは
>>
>> * $SAFE=4のサンドボックスを使って
>> * まったく信頼できないコードを動かしている
>>

>> ようなプログラムだけで、影響範囲は少ないと考えているからです。
>> 上記の条件を満たしつつ、古いバージョンで運用したいケースがあ
>> りましたらご相談ください。
>
> 現在公開されている情報から判断すると、例えば tDiary のホスティングサービ
> スが上記の条件を満たすのではないかと懸念しています。

しばらく前から $SAFE=4 を使っているアプリケーションを探して
いるのですが、tDiary の他には、

* Scriptroute
http://www.usenix.org/events/usits03/tech/spring/spring_html/index.html
* VikiWiki
http://vikiwiki.net/
http://vikiwiki.net/index.cgi?p=PluginsPage
Rubyスクリプトを実行するためのプラグイン

あたりには信用できないコードを評価するケースあるのではないか
と思っています。試していないので、もし該当しなかったらごめん
なさい。

使ってはいるがコードを信用できないところからは与えられそうに
ないというものもいくつかはあって、Hiki の cgi_conf の読み込
みとか、nadoka の eval bot とか、そういうのはたぶん問題ない
と思うんですが。
--
[田中 哲][たなか あきら][Tanaka Akira]

投稿者 xml-rpc : 2006年7月12日 12:19
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/41490
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。