Perlに脆弱性じゃなくて、WebminまたはUserminの脆弱性でしょ?
iTmediaによると、Perlに脆弱性っというとんでもない見出しがあるけれど、どうもそうではないらしい。うーん、紛らわしい。
ITmediaの記事を簡単にいうと、
- Dyad SecurityがPerlに脆弱性がありますよって発表。DoS攻撃ができてしまうかも。ほかにもあるんじゃないか。
- 他のsecurityが調べたけれど、DoSだけ。
- どうも、特定の方法でPerlを含んだ、特定のアプリケーションで起こるらしい。
えーっと。それってPerlじゃなくて、その特定のアプリの脆弱性ですよね。うん。そんな言い方したら、CもC++も確実に脆弱性のある言語になるじゃないか!!
何々、WebminとUserminだって。そうか、あれはPerlだったのか。さてとGoogleでWebminを調べてみるか、なに
ITProによると、こんなニュースが。
Webminのログイン処理に脆弱性
ああ、やっぱりね。しかも、こっちの記事の方が正確だわ。
Dyad SecurityがWebminのminiserv.plを利用する全バージョンのwebminに問題があることを発表した。(ここ一部省略)*1既にWebminのWebサイトでは修正版が手に入るそうです。
そうなんだ。Userminはどうなんだ?いいか、使ってないし。Perlは無罪っぽいし。
追記
もともとのDyad Securityのアドバイザリー"Webmin miniserv.pl perl format string vulnerability"へのリンク。ね。Webminの脆弱性でファイル、miniserv.plのperlのフォーマット文字列の脆弱性ってあるでしょ。というか、ITmediaの元記事にも同じリンクあったのね。落ち着いてよく読みましょうということか。
追記
*1:ひょっとしたら悪用する人が出るかもしれないので