namazu-dev(ring)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: tutorial (Re: toward 2.0 release)

From: knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)
Date: Mon, 14 Feb 2000 11:37:11 JST

<200002130649.PAA22480@xxxxxxxxxxxxxx>の記事において
kenji@xxxxxxxxxxxxxxxxさんは書きました。

>> * 1.3.0.10/1.9.12 以前の bug は DoS attack ではなくファイル
>>  操作ができてしまう security hole。

  某所で remote DoS というアナウンスを出してもらってしまったのですが
^^; 設置環境によっては DoS になり得ると思います。

  書こうか書くまいかまよったのですが、fix 版がリリースされて随分経ちま
したし、-dev の方だけにでも書くことにします。

  単純なケースでは、namazu CGI の実行権限でインデックスファイルへの書
きこみが可能な場合がそれにあたりますし、world writable な temporary
directory のあるパーティションを filesystem full にさせたり i-node を
使いつくしてしまったりすることで、正常なサービス提供の継続ができなくな
る可能性があります。

  という点をもって remote DoS の可能性があるということに間違いないので
はないかと思っています。

# 記述をするなら、DoS の可能性のみの指摘だけで良いとは思いますけど。

  ところで、BUGTRAQ / BUGTRAQ-JP あたりにも報告をしませんか?
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
        nokubi@xxxxxxxxx (official)

Follow-Ups:
- Re: tutorial (Re: toward 2.0 release)
  - From: Kenji Suzuki

References:
- Re: tutorial (Re: toward 2.0 release)
  - From: Kenji Suzuki

Prev by Date: Re: tutorial (Re: toward 2.0 release)
Next by Date: Re: mknmz: user-friendly progress messaging
Previous by thread: Re: tutorial (Re: toward 2.0 release)
Next by thread: Re: tutorial (Re: toward 2.0 release)
Index(es):
- Date
- Thread