[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2006/dsa-1207.wml



æ‰å±±ã§ã™ã€‚

On Sun, 17 Dec 2006 01:43:37 +0900, KISE Hiroshi wrote:
> From: SUGIYAMA Tomoaki <tomos@xxxxxxxxxxxxxxxx>
> > 今回ã®å ´åˆï¼Œä¸Šè¨˜ã«æ²¿ã†ãªã‚‰ã°ã€ŒCRLF 注入脆弱性ã€ã¨ã—ãŸã‹ã‚‚ã—ã‚Œã¾ã›ã‚“
> > ãŒï¼Œã‹ã­ã“ã•ã‚“訳ã«ã€ŒCRLF 挿入脆弱性ã€ã¨ã‚り,Google ã§ã®æ¤œç´¢ã§ã‚‚
> > 数件ã²ã£ã‹ã‹ã£ã¦ããŸã®ã§ã€ŒCRLF 挿入脆弱性ã€ã¨ã—ã¦ã„ã¾ã—ãŸã€‚
> > (「CRLF インジェクション脆弱性ã€ã‚‚「CRLF 注入脆弱性ã€ã‚‚検索ã§ã¯
> > 該当ページãŒè¦‹ã¤ã‹ã‚‰ãš)

> 「脆弱性ã€ã‚’除ã„ãŸã€ŒCRLF注入ã€ã€ŒCRLF挿入ã€ã€ŒCRLFインジェクションã€
> 「CRLF injectionã€ã§æ¤œç´¢ã‚’ã‹ã‘ã‚‹ã¨ã€ã¾ãŸé•ã£ã¦ãã‚‹ã¨æ€ã„ã¾ã™ã€‚

Google ã§æ¤œç´¢ã—ã¦ã¿ã¾ã—ãŸã€‚

「CRLF注入ã€â€¦â€¦ 544 件 (ã»ã¼ã™ã¹ã¦ãŒæ—¥æœ¬èªžã˜ã‚ƒãªã„ページ) 
「CRLF挿入ã€â€¦â€¦ 36 件
「CRLFインジェクションã€â€¦â€¦ 35 件
「CRLF injectionã€â€¦â€¦ 118,000 件 (日本語ã®ãƒšãƒ¼ã‚¸ã‚’検索ã ã¨ 223 件
                       ã ã£ãŸã‘ã©åŽŸæ–‡ã®å¼•ç”¨ã ã£ãŸã‚Šã‚‚ã™ã‚‹ã‚ˆã†ãªã®ã§
                       よã分ã‹ã‚Šã¾ã›ã‚“ã§ã—ãŸ)

> ã•ãã»ã©ã®ãƒ¡ãƒ¼ãƒ«ã‚’書ããªãŒã‚‰ã€

> 「セキュリティホールmemoã€
> http://www.st.ryukoku.ac.jp/~kjm/security/memo/

> ã§ã©ã†è¡¨ç¾ã•ã‚Œã¦ã„ã‚‹ã‹ã‚‚一応å‚考ã«ã—ã¾ã—ãŸã€‚ã“ã¡ã‚‰ã¯å˜èªžãã®ã¾ã¾
> (他サイトã®è¨˜äº‹ã®ç´¹ä»‹éƒ¨åˆ†)ã‹ã€ã‚«ã‚¿ã‚«ãƒŠã‹ãªãã€ã¨ã„ã†æ„Ÿã˜ã§ã™ã€‚

ã‹ã­ã“ã•ã‚“ã‹ã‚‰ã„ãŸã ã„ãŸãƒ¡ãƒ¼ãƒ« (debian-www:10661)[1]ã«ã‚ˆã‚‹ã¨ï¼Œ

> 原文ã¯æ„識的ã«ã€ŒæŒ¿å…¥ã€ã«ã—ã¦ã„ã¾ã™ã€‚今回ã®ä»¶ã‚’具体的ã«æ›¸ãã¨
> CRLF を挿入ã—ãŸã“ã¨ã«ã‚ˆã‚‹ã‚¹ã‚¯ãƒªãƒ—トインジェクション脆弱性ãªã®
> ã§ã€ã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³ãŒé‡ãªã‚‹ã®ã‚’é¿ã‘ãŸãŸã‚ã§ã™ã€‚

ã¨ã®ã“ã¨ã§ã™ã®ã§ï¼Œ"CRLF injection vulnerability" ã®å ´åˆã¯
「CRLF 挿入脆弱性ã€ã§ã‚‚良ã„ã®ã‹ãªã¨æ€ã„,ãã®ã¾ã¾ç™»éŒ²ã•ã›ã¦ã„ãŸã ã
ã¾ã—ãŸã€‚

> 余談ã§ã™ãŒã€ã€Œæ³¨å…¥ã€ã§â€œDependency Injection(DI)â€ã‚’連想ã—ã¾ã—ãŸã€‚
> 「ä¾å­˜æ€§ã®æ³¨å…¥ã€ã¨è¨³ã•ã‚ŒãŸã‚Šã—ã¾ã™ã€‚セキュリティã¨ã¯é–¢ä¿‚ãªã—。

# 個人的ã«ã¯ã€Œæ³¨å…¥ã€ã¯ã€ŒæŒ¿å…¥ã€ã«æ¯”ã¹ã¦ï¼Œä»–所ã‹ã‚‰ã•ã‚Œã¦ã„ã‚‹ã¨ã„ã†
# å°è±¡ãŒã‚ã£ãŸã®ã§ã™ãŒï¼Œç‰¹ã«æ ¹æ‹ ãŒã‚ã‚‹ã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“。

1.http://lists.debian.or.jp/debian-www/200612/msg00081.html

--
æ‰å±±å‹ç«