アカウント名:
パスワード:
一時ファイルを共有ディレクトリに作成しない [jpcert.or.jp]という基本的な話ですね。
複数のバックアップソフトウェアの脆弱性について https://www.jpcert.or.jp/newsflash/2020122501.html [jpcert.or.jp]
JVNVU#92838794: Atlassian 製 Bitbucket にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性 https://jvn.jp/vu/JVNVU92838794/index.html [jvn.jp]
昨年秋頃からこの手の脆弱性報
例えば、ブラウザでcontent-disposition:attachmentがついてるファイルをブラウザで表示しようとすると、%TEMP%行きになると思うんだけど、これはダメってこと?
Firefoxとかだと、同じ名前のファイル(aaa.bbb)があれば、添え字(aaa-1.bbb)をつけて一意性は確保してるみたいだけど。
権限昇格の脆弱性になる場合はダメってこと
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
この先も同様の報告が増えそう (スコア:3, 興味深い)
一時ファイルを共有ディレクトリに作成しない [jpcert.or.jp]という基本的な話ですね。
複数のバックアップソフトウェアの脆弱性について
https://www.jpcert.or.jp/newsflash/2020122501.html [jpcert.or.jp]
JVNVU#92838794: Atlassian 製 Bitbucket にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92838794/index.html [jvn.jp]
昨年秋頃からこの手の脆弱性報
Re: (スコア:0)
例えば、ブラウザでcontent-disposition:attachmentがついてるファイルをブラウザで表示しようとすると、%TEMP%行きになると思うんだけど、これはダメってこと?
Firefoxとかだと、同じ名前のファイル(aaa.bbb)があれば、添え字(aaa-1.bbb)をつけて一意性は確保してるみたいだけど。
Re:この先も同様の報告が増えそう (スコア:0)
権限昇格の脆弱性になる場合はダメってこと