アカウント名:
パスワード:
Linuxベースのアプライアンス製品となるファイアウォールとかこの問題にひかかっててたいへんずら
ローカルユーザとしてログインできることがそもそもレアケースなのでサービスを提供する系のサーバはそれほど影響はない気がします
一方、OS環境を提供する系のレンサバとかは大慌てでしょうね
悪意を持ったやつがログインしなくても、ローカルユーザーが実行するプログラムにこれが含まれていればアウト?
それとも、ローカルユーザーが悪意をもってごにょごにょしないと成功しないよタイプなんでしょうか。
Herokuとかの、DB接続用(PostgreSQLだったかな)にローカルユーザを渡してるようなサービスも大慌てなんじゃないですかね…
あとはwebadmin的な奴ですかね?
その手のサービスは一応契約者の身元確認を取っているのでまあ通常の危機対応でしょ。悪意のあるユーザーが悪意を持ってコードを実行しても誰がやったかわかるわけだから。見つかってないだけでリモートから任意のコードを実行できる脆弱性はあるんでしょうしそういうのと組み合わせられると大変面倒なことになるけれど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
rE:rE:rE:のキタロウ (スコア:0)
Linuxベースのアプライアンス製品となるファイアウォールとかこの問題にひかかっててたいへんずら
Re: (スコア:0)
ローカルユーザとしてログインできることがそもそもレアケースなので
サービスを提供する系のサーバはそれほど影響はない気がします
一方、OS環境を提供する系のレンサバとかは大慌てでしょうね
この件はローカルユーザーが俺一人なら安全? (スコア:2)
悪意を持ったやつがログインしなくても、
ローカルユーザーが実行するプログラムにこれが含まれていればアウト?
それとも、ローカルユーザーが悪意をもってごにょごにょしないと
成功しないよタイプなんでしょうか。
Re: (スコア:0)
Herokuとかの、DB接続用(PostgreSQLだったかな)にローカルユーザを渡してるようなサービスも大慌てなんじゃないですかね…
Re: (スコア:0)
あとはwebadmin的な奴ですかね?
Re: (スコア:0)
その手のサービスは一応契約者の身元確認を取っているのでまあ通常の危機対応でしょ。
悪意のあるユーザーが悪意を持ってコードを実行しても誰がやったかわかるわけだから。
見つかってないだけでリモートから任意のコードを実行できる脆弱性はあるんでしょうしそういうのと組み合わせられると大変面倒なことになるけれど。