2003年11月13日(木曜日)
個人情報を読み落とす記述?
入力に間違った場合、エラーメッセージを表示するが、表示するファイルを読み出すところを、蓄積した個人情報を読み落とす記述になっているプログラミングミスだった。
以上、個人情報流出でACCSが謝罪会見 より
「個人情報を読み落とす」って良く分からないのですが。本来表示するファイルのかわりに個人情報のデータファイルを表示するつくりだったという意味でしょうか。いくらなんでもそんなことはないと思うのですが……。
office さんの所を見ると、
該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、
以上、officeさんのTea Room for Conference in academic office より
という話が出ています。引用文中の「洗浄」というのはサニタイズのことです。私の想像では、CGI の引数としてテンプレートの指定ができるようになっていて、そこでサニタイズを怠っていたため Path Traversal が可能になっていた……というパターンではないかと思うのですが。
- 「個人情報を読み落とす記述?」にコメントを書く
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩
- 前(古い): 2003年11月12日(Wednesday)のえび日記
- 次(新しい): 2003年11月14日(Friday)のえび日記
