Kazuhiko <kazuhiko / fdiary.net> wrote :
    [ [ruby-list:39775] Hiki の脆弱性に関する注意喚起 ]
    at Mon, 21 Jun 2004 06:07:25 +0900

 ささだ@セキュリティ初心者です.Hikiユーザでもないのですが.


> Ruby で実装された Wiki エンジンの一種である Hiki に、深刻な脆弱性が発見
> されました。ご利用の方は早急にアップデートしてくださるようお願いします。

 バグのフィックス,および告知ご苦労様です.


 さて,今回の件の原因はどのようなものであったのかの開示はあり
ませんでしょうか.次のような理由で原因の開示は必要だと考えます.


1. 今後,Hiki(もしくはHikiを一部利用しているようなソフトウェア)
   を利用していくうえで,本当にその穴が埋まっているかの確認が第三
   者からはできない(しにくい)

2. Hiki のような有名なソフトに穴があったんだから,おれの xxx
   にも同じような穴があるかもしんない.だけれど,その確認を
   しようにもできない(しにくい)


 私は 2 の理由でどんな穴だったか知りたいです.ついでに,CGI一般
の話なのか,Ruby特有の穴だったか,という点についても気になります
(後者だと大変興味深いと思います)

 対処したばかりで大変だと思いますが,ご一考頂けると幸いです.

 もし私が原因の詳細の記述を見落としていた,またはこれから開示さ
れる予定がある場合は失礼しました.


-- 
// SASADA Koichi at atdot dot net
//