記事へのコメント46

    • 注目コメント
    • 新着コメント
    typista
    typista Apache HTTPD : `Options -FollowSymLinks` は不完全 : ダメ出し Blog

    2013/10/04 リンク

    その他
    dann
    dann mod_process_security

    2013/09/07 リンク

    その他
    rryu
    rryu シンボリックリンクのレースコンディション問題は結構昔から言われているが、 未だに何とかできる機能がOSに実装されないのは何故なのだろう。

    2013/09/05 リンク

    その他
    tarchan
    tarchan >各処理の間にはわずかながら別プロセスが動作する猶予があるため、 このタイミングでファイルまでのパスをシンボリックリンクに差し替えることで、 Apache HTTPD にシンボリックリンクを辿らせることができてしまう。

    2013/09/04 リンク

    その他
    mainyaa
    mainyaa う。Symlink Attack根深いんだな。共有サーバーは避ける。ぐらいしか思いつかない

    2013/09/04 リンク

    その他
    zoidstown
    zoidstown なるほど。

    2013/09/04 リンク

    その他
    kimutansk
    kimutansk 一般的な環境で1つのWebサーバプロセス上で複数人のディレクトリを動かしている時点で完全な回避は不可と。

    2013/09/04 リンク

    その他
    tmatsuu
    tmatsuu nginxのdisable_symlinksも結局同じ事か。ググってみたらいくつかパッチらしきものは見つかったが正しいかどうかはよくわからん。

    2013/09/03 リンク

    その他
    ftype
    ftype こゎぃょ~

    2013/09/03 リンク

    その他
    murasaki11
    murasaki11 なるほどわからん

    2013/09/03 リンク

    その他
    potato777
    potato777 シンボリックリンクかチェックしてからオープンするまでの間に差し替えることでシンボリックリンクを辿らせることができる(Time Of Check to Time Of Use)為、"Options -FollowSymLinks"では完全ではない。

    2013/09/03 リンク

    その他
    abe_hn
    abe_hn TOCTOU

    2013/09/03 リンク

    その他
    paulownia
    paulownia セキュリティ

    2013/09/03 リンク

    その他
    taka222
    taka222 ”Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog”

    2013/09/03 リンク

    その他
    hirata_yasuyuki
    hirata_yasuyuki Browsing: "Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog"

    2013/09/03 リンク

    その他
    stealthinu
    stealthinu シンボリックリンクはそのチェックをたどるわずかな時間の間に差し替えるTOCTOUとう攻撃手法があるため単に-FollowSymLinksしても小さな穴が残るとのこと。

    2013/09/03 リンク

    その他
    NOV1975
    NOV1975 攻撃する側がアクセスに合わせて任意のタイミングで作成するわけだから、何回かのトライで上手く行ってしまう可能性はあるね。

    2013/09/03 リンク

    その他
    JULY
    JULY 確かに、レースコンディションがある以上、100% では無いけど、実用範囲では十分な対策だと思うが。

    2013/09/03 リンク

    その他
    burnworks
    burnworks 『「ユーザーごとに別権限の Web サーバーを立ち上げる」や 「ユーザーごとに別権限でコンテンツをアクセスする Web サーバーにする」 といった方法で回避もできる』

    2013/09/03 リンク

    その他
    qnighy
    qnighy TOCTOU

    2013/09/03 リンク

    その他
    luccafort
    luccafort 「TOCTOU」知らんかった、なるほど。さらっと流し読みしただけなのであとでよくよく読み直しておこう。

    2013/09/03 リンク

    その他
    overleo
    overleo うへぇ。そうなんだ。共用サーバやばいなあ。

    2013/09/03 リンク

    その他
    syuu1228
    syuu1228 Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

    2013/09/03 リンク

    その他
    raimon49
    raimon49 言及先である徳丸さんのブログにも追記あり。

    2013/09/03 リンク

    その他
    wasai
    wasai このへんはちゃんと読んでおく。「TOCTOU」なんてしらなかった。

    2013/09/03 リンク

    その他
    YaSuYuKi
    YaSuYuKi Linux限定だが、inotifyとの組み合わせは怖いと思って調べてみたら、lstatの実装まで調べないと使えるかわからなさそうだ http://linuxjm.sourceforge.jp/html/LDP_man-pages/man7/inotify.7.html

    2013/09/03 リンク

    その他
    sakura-1
    sakura-1 TOCTOU攻撃だったのか。なるほど。SELinuxとかでこの手の攻撃は防げるはず。

    2013/09/03 リンク

    その他
    katzchang
    katzchang 「この問題は「TOCTOU」(もしくは「TOCTTOU」、「Time Of Check to Time Of Use」) と呼ばれる問題の一種」

    2013/09/03 リンク

    その他
    dominion525
    dominion525 「TOCTOU」→トクトウ→とくとう→禿頭。

    2013/09/03 リンク

    その他
    keitone
    keitone GMOの社長さんすごかったよね(・ω・)

    2013/09/03 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

    シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allow...

    ブックマークしたユーザー

    • drunkturtle2017/07/07 drunkturtle
    • mr-80b2017/03/02 mr-80b
    • mimesis2016/01/17 mimesis
    • tajima_taso2015/08/24 tajima_taso
    • hibiki_koyo2015/03/17 hibiki_koyo
    • s-shin2014/11/25 s-shin
    • nacika_inscatolare2014/09/11 nacika_inscatolare
    • manabou2014/07/28 manabou
    • tanakaBox2014/07/19 tanakaBox
    • OKIIZO2014/05/08 OKIIZO
    • satojkovic2014/03/31 satojkovic
    • naohor2014/03/12 naohor
    • W53SA2014/02/14 W53SA
    • ishime2013/11/25 ishime
    • KatagiriSo2013/11/06 KatagiriSo
    • typista2013/10/04 typista
    • pmakino2013/09/23 pmakino
    • pmc122013/09/18 pmc12
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事