メモの日々


2006年10月25日(水) [長年日記]

[security][web] 「XOOPSにSession Fixationの脆弱性? 開発者は脆弱性でないと判断 」 (セキュリティホールmemo)

高木さんからのメールというのが追記されていた。Sesssion Fixation と Session Adoption を区別しないとというのは分かるんだけど、

Session Fixationの問題は、Webアプリで対応するか、ブラウザをどうにかするかのどちらかです。

というのは分からなかった。Webアプリとブラウザの両方が対応する必要あるんじゃないのかなあ。

ところで、セキュリティホールmemoはRSSを3つ配信していて、そのうちの「memo RSS by Neun」というやつだとRSSで全文を読めるようなのでこちらを購読するように変更してみた。

[unix] 「[FreeBSD-users-jp 90122] Re: core を吐かせるには?」

coreファイルは、setuidされていると作成されないもののようだ。で、FreeBSDでは kern.sugid_coredump を1に設定することでその制限を回避できるという話題がでていたのでメモ。

FreeBSDのcoreのmanに、

デフォルトでは、実ユーザまたは実効ユーザ、あるいは実グループまたは実行グループが変更されているプロセスはコアファイルを生成しません。この動作は sysctl(8) で kern.sugid_coredump を 1 にすることによりコアダンプを生成するように変更できます。

と書いてあった。

Linuxのcoreのmanには

コアダンプファイルが生成されない状況がいくつかある:

プロセスが実行している set-user-ID (set-group-ID) プログラムの所有者のユーザ (グループ) が、プロセスの実 UID (実 GID) と異なる場合 (但し、 prctl(2) PR_SET_DUMPABLE 操作の説明と、 proc(5) の /proc/sys/fs/suid_dumpable ファイルの説明も参照のこと)。

とあり、procのman

/proc/sys/fs/suid_dumpable (Linux 2.6.13 以降)

このファイルの値により、set-user-ID されたバイナリや、保護がかかった (protected) バイナリ / tainted な (汚染された; ライセンスがカーネルと適合しない) バイナリに対して、コアダンプファイルを生成するかどうかが決定される。

とあって、やはりパラメータで挙動を変えられるようになっていた。

やること

  • デザイン変更
  • 保険
  • 蛍光灯
  • PHSのファームウェアアップデート
  • 健康診断