2007/08/26(日)日曜日ー。(扱い方がわからない。。)
[セキュリティ] * JVNDB-2007-000597 Apache Tomcat における「\」の取り扱い不備によりセッションハイジャック攻撃に利用される脆弱性
、 * JVNDB-2007-000596
seasurfersML で* 話題になっていました
が、確かに、深刻度 10.0 は、他のベンダーの発表と乖離しすぎだと思います。 セッションハイジャックが可能というところから、機密性・完全性・可用性への影響が「全面的」になっているのかも知れませんが、「攻撃条件の複雑さ」の見積もりあたりが間違っているのかも。 * Bugtraqへの投稿
を見る限りでは、金床さんご指摘のとおり、通常のセッション(JSESSIONIDを使うもの)のみを使っている場合には影響を受けなさそうですね。 Cookieクラスを使って自分でCookieを発行していて、値部分にユーザの入力値をそのまま出している場合に、新しいCookieを発行したり、有効期限・ドメイン・パス・Secure属性・HttpOnly属性の操作が可能ということのようです。 これによって、セッションフィクセイション攻撃が可能といった影響が考えられるという状況のようです。[雑談] * タバコを吸う女性を嫌がる男性は「男尊女卑」 嫌がらない男性は「男女平等」
・・・んな無茶なw[雑談] * 「同乗するだけ」 駐車違反対策で新商売 (大阪日日新聞)
駐車違反とならないように、ただ横に乗っているだけの商売。 定年後の再就職に。
、 * JVNDB-2007-000596
seasurfersML で* 話題になっていました
が、確かに、深刻度 10.0 は、他のベンダーの発表と乖離しすぎだと思います。 セッションハイジャックが可能というところから、機密性・完全性・可用性への影響が「全面的」になっているのかも知れませんが、「攻撃条件の複雑さ」の見積もりあたりが間違っているのかも。 * Bugtraqへの投稿
を見る限りでは、金床さんご指摘のとおり、通常のセッション(JSESSIONIDを使うもの)のみを使っている場合には影響を受けなさそうですね。 Cookieクラスを使って自分でCookieを発行していて、値部分にユーザの入力値をそのまま出している場合に、新しいCookieを発行したり、有効期限・ドメイン・パス・Secure属性・HttpOnly属性の操作が可能ということのようです。 これによって、セッションフィクセイション攻撃が可能といった影響が考えられるという状況のようです。[雑談] * タバコを吸う女性を嫌がる男性は「男尊女卑」 嫌がらない男性は「男女平等」
・・・んな無茶なw[雑談] * 「同乗するだけ」 駐車違反対策で新商売 (大阪日日新聞)
駐車違反とならないように、ただ横に乗っているだけの商売。 定年後の再就職に。