パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Bugzillaに未解決の脆弱性が発見される」記事へのコメント

  • by Anonymous Coward

    認証無視で管理者権限アカウントとか
    脆弱性ってより裏仕様の
    バックドアばれちゃったみたいなはなしですね

    本当にバグだったんだろうか

    • Re: (スコア:4, 参考になる)

      by Anonymous Coward

      オンラインでソースが見られないのでよくわかりませんが、本家のアナウンスを見ると

      The 'realname' parameter is not correctly filtered on user account creation, which could lead to user data override.

      とあるので、「realname」というパラメータの入力値のチェック漏れでSQLインジェクションか何かを許してしていたのではないでしょうか。
      普通の脆弱性ではないかと。

      • Re: (スコア:2, 興味深い)

        by Anonymous Coward

        高木センセーの仰ってる通り、サニタイズとかじゃなくてパラメータライズドクエリを使え、と。
        こんなメジャーなシステムでそんな初歩的なミスをしていたなんて、ちょっと驚きですね。

        #ふと思ったんですが、プリペアドステートメントとパラメータライズドクエリ、どっちがメジャーな呼び方なんでしょうかね。

        • by Anonymous Coward on 2014年10月09日 10時34分 (#2690872)

          追記。
          プレースホルダ、って言い回しもありますねぇ。

          なんかこうやって言い回しが色々ありすぎるのも、パラメータライズドクエリが普及しない原因なのかなぁ。

          検索し辛いし、言い回しが複数あると知らない人は頭の中にはてなが浮かぶでしょうし。

          #私は直感的に意味がわかる、パラメータライズドクエリ派です。

          親コメント
          • by HomuraAkemi (46038) on 2014年10月09日 11時09分 (#2690888) 日記

            ODBCのAPIだと、SQLPrepare()を実行してから、SQLBindParameter()を実行するのですが、
            私が最初に知った言い方はプリペアドステートメントで、パラメタライズドクエリを知ったときは、
            へー、そういう言い方もあるのか、、と思ったものです。

            プレースホルダというと、DB用語ではない何か別のものを指すような印象を受けます。
            fooとかhogeなどメタ構文変数の様な感じがします。

            というわけなので、私はプリペアドステートメント派です。

            親コメント
            • by Anonymous Coward

              広義には後から実際のものを入れるために取っておく場所のことでしょうから
              広告やプレゼンのレイアウトレイアウトとか、そういうものを指すと思いますが、
              データーベースに適用しても全然違和感はないですね

              浩光センセーも言ってますしね
              http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html [atmarkit.co.jp]

              MS的にはパワーポイント用語ですか・・・

            • by Anonymous Coward

              > プレースホルダというと、DB用語ではない何か別のものを指すような印象を受けます。
              > fooとかhogeなどメタ構文変数の様な感じがします。
              置換されるもの、でいいんじゃないですか?
              printf のフォーマット文字列中の %s とかもそうですよね。

              • by Anonymous Coward

                「場所取り」って言ってください。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...