アカウント名:
パスワード:
認証無視で管理者権限アカウントとか脆弱性ってより裏仕様のバックドアばれちゃったみたいなはなしですね
本当にバグだったんだろうか
オンラインでソースが見られないのでよくわかりませんが、本家のアナウンスを見ると
The 'realname' parameter is not correctly filtered on user account creation, which could lead to user data override.
とあるので、「realname」というパラメータの入力値のチェック漏れでSQLインジェクションか何かを許してしていたのではないでしょうか。普通の脆弱性ではないかと。
SQLとか関係なくて、Perl独特の罠にひっかかっちゃったかんじです。http://blog.gerv.net/2014/10/new-class-of-vulnerability-in-perl-web-ap... [gerv.net]
これだから型の弱い処理系は嫌いだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
バックドア? (スコア:0)
認証無視で管理者権限アカウントとか
脆弱性ってより裏仕様の
バックドアばれちゃったみたいなはなしですね
本当にバグだったんだろうか
Re: (スコア:4, 参考になる)
オンラインでソースが見られないのでよくわかりませんが、本家のアナウンスを見ると
The 'realname' parameter is not correctly filtered on user account creation, which could lead to user data override.
とあるので、「realname」というパラメータの入力値のチェック漏れでSQLインジェクションか何かを許してしていたのではないでしょうか。
普通の脆弱性ではないかと。
Re:バックドア? (スコア:1)
SQLとか関係なくて、Perl独特の罠にひっかかっちゃったかんじです。
http://blog.gerv.net/2014/10/new-class-of-vulnerability-in-perl-web-ap... [gerv.net]
Re: (スコア:0)
これだから型の弱い処理系は嫌いだ。