「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣浩司)は、「Lhaplus」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を、2008年4月28日に公表しました。 これは、細工されたファイルに対して展開処理を行った場合に、任意のコードが実行されるというものです。悪用されると、コンピュータ上でユーザの意図しないプログラムの実行や、ファイルの削除、ウイルスやボットなどの悪意あるツールがインストールされるなど、コンピュータが悪意あるユーザによって制御される可能性があります。 対策方法は「製品開発ベンダが提供する対策済みバージョンに更新する」ことです。 Lhaplusは、電子ファイルのデータサイズを小さくすることなどを目的に、データを圧縮して保存したり、またその圧縮したデータを元のデータに戻したりする機能を持つソフトウェアの一つです。Lhaplusが対応する圧縮形式には、lzh形
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント
ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
