[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[IPM:274] [ 広報] 天敵カルテ・メンテナンス

To: IPM@affrc.go.jp
Subject: [IPM:274] [ 広報] 天敵カルテ・メンテナンス
From: Takuji KIURA <kiura@affrc.go.jp>
Date: Fri, 13 Oct 2000 11:11:44 +0900
Delivered-To: tenteki-ipm@tenteki.cgk2.affrc.go.jp
Organization: NARC, MAFF, JAPAN
Reply-To: IPM@affrc.go.jp


「天敵カルテ」はPHPで書かれているのですが，このPHPのモジュールに
あからさまな問題点が存在しており，Webサーバが動いているユーザの
権限で任意のコマンドが実行できます。

現在，OSの基本部分のセキュリティを強化するとともに，PHPモジュールの
セキュリティ対策を検討しています。最悪の場合，しばらくアクセスでき
なくなります。

なお，私が書いたPHPのスクリプトではなくて，そのスクリプトを実行する
モジュールの問題点です。

この問題により，ユーザが受ける被害：
・カルテの記入登録者は，登録情報を盗み出される可能性があります。
・Webブラウザで「天敵カルテ」のサーバにアクセスする人は，Webページを
  改ざんされる可能性があるため，思わぬ被害を受ける可能性があります。

Ex. Netscape Communicator 4.74 以前のバージョンをお使いの方は，
    Javaのセキュリティに問題があるために，Webで表示可能な全ての
    ファイルを読み出されてしまいます。また4.73以前にはJPEG画像の
    ヘッダの取り扱いに問題があるため，自分のPCで任意のコードを
    実行される可能性があります。

Ex. Internet Explorerをデフォルトの設定のまま利用されている場合には，
    いとも簡単に任意のコードを実行することが出来ます。

「天敵カルテ」サーバで現在行っていること
・OSのセキュリティの強化

「天敵カルテ」サーバでその後行うこと
・PHPのパッチあて，またはバージョンアップ
  (バージョンアップするとスクリプトの書き換えが必要かもしれない)

「天敵カルテ」の長期的な対応
・Javaに移行します。

-- 
Takuji KIURA <kiura@affrc.go.jp> National Agriculture Research Center
http://zoushoku.narc.affrc.go.jp/%7ekiura/security/LIDS_install.html
Tenteki Karte ----------> https://tenteki.cgk2.affrc.go.jp/

Follow-Ups:
- [IPM:275] Re: [ 広報] 天敵カルテ・メンテナンス
  - From: Takuji KIURA <kiura@affrc.go.jp>

Prev by Date: [IPM:273] 池田部長のマルハナの論文に関して
Next by Date: [IPM:275] Re: [ 広報] 天敵カルテ・メンテナンス
Prev by thread: [IPM:277] 生物農薬登録状況＜10月11 日現在＞
Next by thread: [IPM:275] Re: [ 広報] 天敵カルテ・メンテナンス
Index(es):
- Date
- Thread