情報セキュリティ技術動向調査（2009 年上期）：IPA 独立行政法人 情報処理推進機構

Untrusted search path vulnerability は「信用できない検索パスの脆弱性」という意味である。代表例としては環境変数 PATH に .（カレントディレクトリ）を入れた場合の問題が古くから知られているが、これに限られたものではない。2009年上期には、Python に関連したUntrusted search path vulnerabilityが多数出たことを踏まえ、これを解説する。 Python は動的オブジェクト指向プログラミング言語である。Pythonはアプリケーションに組み込むことにより、アプリケーションをPythonで拡張することができる。実際、vim やblenderなど多くのアプリケーションがPythonの組み込みをサポートしている。 昨年から、Python関連のUntrusted search path vulnerabilityとして以下のよう

[tzccinct]

Untrusted search path vulnerability 「信用できない検索パスの脆弱性」

[mieki256]

Rubyの仕様変更はこういう理由だったのか…

[nobyuki]

1.9.2から$:に.を含まなくなった理由

[kaito834]

DLL Preloading（DLL Hijacking, Binary Planting）について調べてたどり着いた IPA の調査報告書。DLL Preloading の脆弱性を調べる際には、"Untrusted search path vulnerability" がキーワードとなる。CVE で検索→http://is.gd/fvHhr

[iR3]

Untrusted search path vulnerability

[ohnishiakira]

Untrusted Search Path Vulnerabilityについて、Pythonでの事例を基に説明

[willnet]

カレントディレクトリをサーチパスに含めると、悪意のあるスクリプトを実行してしまう可能性がある

[authorNari]

なぜカレントディレクトリをパス（探索パス）に含めてはならないか？（信用できない検索パスの脆弱性）