アカウント名:
パスワード:
(今は知ってる人がいるかどうかは知らないけど)アパチコモンズて「100% Pure Java」でしょ?そんなコードでもネイティブ・システムに脆弱性をもたらすのなの?
今回のはサンドボックス有効なら影響ないけど、普通は意図したときには Runtime.getRuntime().exec("rm -rf /"); したいというのの裏返しで脆弱性があれば許可された範囲内でも充分問題になる
Collections で、そんなことすんのかなぁ?
任意のコードが実行出来るので、何処の脆弱性かは関係ないんじゃ
それを言い出したら、科学・技術計算用ライブラリーでも、exec とからやっていいじゃん?今回の事例は、データベースにアクセスするとか、組み込み機器の制御をするとかじゃない、純粋なデータ処理だけのライブラリーであるはずの Collections だったから、exec とかはないだろうってゆう、想像したんだよ。
お前は何を言ってるんだ・・・
# 本来の用途と脆弱性によって可能になる挙動を一緒くたにするんじゃない
そんなこと百も承知だけどね。例えば「リスト構造」を実装するのにネイティブなプロセスにアクセスしたりせずに、ふつうに Java 言語内で閉じるような実装にするって感覚だよ。それって普通の感覚じゃないの?
あぁ、そういう意味か。
「なんでCollection実装すんのにこんな脆弱性が入り込む余地があるんだよ」って事ね。
まぁ、javaに関してはもう無理やりな実装してる部分があると個人的に思ってるので(Genericsとか内部はObjectのリストだったりするじゃない)その辺も不思議ではない。
つかメモリを効率よく使うリストなんて参照の連鎖だからねぇ。ほとんどポインタの親戚みたいなもんだからなぁという印象。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
100% Pure Java でも? (スコア:1)
(今は知ってる人がいるかどうかは知らないけど)アパチコモンズて「100% Pure Java」でしょ?そんなコードでもネイティブ・システムに脆弱性をもたらすのなの?
Re: (スコア:0)
今回のはサンドボックス有効なら影響ないけど、普通は意図したときには Runtime.getRuntime().exec("rm -rf /"); したいというのの裏返しで脆弱性があれば許可された範囲内でも充分問題になる
Re: (スコア:0)
Collections で、そんなことすんのかなぁ?
Re: (スコア:0)
任意のコードが実行出来るので、何処の脆弱性かは関係ないんじゃ
Re: (スコア:0)
それを言い出したら、科学・技術計算用ライブラリーでも、exec とからやっていいじゃん?今回の事例は、データベースにアクセスするとか、組み込み機器の制御をするとかじゃない、純粋なデータ処理だけのライブラリーであるはずの Collections だったから、exec とかはないだろうってゆう、想像したんだよ。
Re: (スコア:0)
お前は何を言ってるんだ・・・
# 本来の用途と脆弱性によって可能になる挙動を一緒くたにするんじゃない
Re: (スコア:0)
そんなこと百も承知だけどね。例えば「リスト構造」を実装するのにネイティブなプロセスにアクセスしたりせずに、ふつうに Java 言語内で閉じるような実装にするって感覚だよ。それって普通の感覚じゃないの?
Re:100% Pure Java でも? (スコア:0)
あぁ、そういう意味か。
「なんでCollection実装すんのにこんな脆弱性が入り込む余地があるんだよ」って事ね。
まぁ、javaに関してはもう無理やりな実装してる部分があると個人的に思ってるので
(Genericsとか内部はObjectのリストだったりするじゃない)
その辺も不思議ではない。
つかメモリを効率よく使うリストなんて参照の連鎖だからねぇ。ほとんどポインタの親戚みたいなもんだからなぁという印象。