BBSメニュー

 サイトへ要望(12, 0)
 投稿練習(73, 0)
 メ-ル希望(3, 0)
 障害情報(18, 0)

質問サイト

 Zope構築について(0, 0)
 配布物への質問(10, 0)

その他

 つかってるプロダクト(23, 0)
 雑談(871, 0)
 業務報告(284, 0)
 VineseedにZope(623, 0)
 Zope27使おう(6, 0)
 JavaScriptについて(10, 0)
 プロダクト化(44, 0)
 ImgBBS(14, 0)
 メタボ(0, 0)

秘密の部屋

 会員専用(0, 0)

メールオフの部屋

 ぼやき場所(27, 0)
 気ままなメモ(15, 0)
 メモ(34, 0)
 eclipse(6, 0)
  

業務報告

業務報告部屋を作ってみました。

投稿画面の表示を 
検索文字 
お名前  EMail 
 左に表示されている数値を入力してください 
0285 0275 0265 0255 0245 0235 0225 0215 0205 0195 0185 0175 0165 0155 0145 0135 0125 0115 0105 0095 0085 0075 0065 0055 0045 0035 0025 0015 0005

255 hoihoi-p 2004年 2月14日 22時34分 Id=hoihoi-p

>>254:http://sourceforge.jp/projects/sourceforge/document/ha***
すっげー。 超複雑。 (プロの世界では当り前?)
シェル専用にCVS用と同じスペックのマシンが使ってある。!!
 
このシステムのポリシー全て変更して検証するには18 時間のメンテはうなずける気がしてきたデス。
 
# 同情的過ぎるかなー。
 
基本的にスクリプトベースなので、速度対策の処理分散が目的だと思うんですが。どうでしょ。



254 owa 2004年 2月14日 15時42分 Id=owa

>>250 ユーザ情報をどのように管理しているか書いていない
これ訂正します
http://sourceforge.jp/projects/sourceforge/document/hardware***
によると
1.サイト Web サーバ
2.サイト DB サーバ
3.ファイルサーバ
4.CVS/ダウンロードサーバ
5.メーリングリストサーバ
6.LDAP サーバ
7.プロジェクト Web サーバ
8.シェルサーバ
9.プロジェクト DB サーバ
というハードウエア構成で
http://sourceforge.jp/docman2/ViewCategory.php?group_id=1&ca***
には「公開鍵はCVSサーバの"~/.ssh/authorized_keys"ファイルに保存されます」とありました。すいません。
http://sourceforge.jp/forum/forum.php?forum_id=4153
を良く読むと、プロジェクトWebサーバに関しては
「このサーバは SourceForge.jp システム本体とは切り離されているため,
各種ユーザ情報やプロジェクトの情報の流出はありません」とあるので大丈夫な気もしてきましたが...



253 owa 2004年 2月14日 14時54分 Id=owa

>>251 xoopsを知らないので
僕も同じく、なのでちょっとだけ調べてみました。
http://jp.xoops.org/modules/newbb/viewtopic.php?viewmode=fla***
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
読んでみると、通常 safe_mode = On, register_globals = Off で運用すべきところを甘く設定していたと読めるのでなんとなく想像できるような気はします。(全く知らないので信用しないでください)
 
後はダメージについて詳しく知りたいのですが、今のところあまり情報を見付けられません。
「SourceForge.jp は 2/20(金)00:00 より 18:00 までメンテナンス」というメールが届きました。18 時間も費すメンテナンスなのに理由が書いてないということは、このクラックと関連しているように思います。メンテ後、なにか発表あるのかな。



252 hoihoi-p 2004年 2月14日 11時42分 Id=hoihoi-p

>>251:〜〜zopeと同様の構造と想定すると、〜〜
これ、訂正。
たしか、apache+php4+mysqlが標準だったと思うので、ユーザ管理が同一かどうかは不明ですねー。




251 hoihoi-p 2004年 2月14日 11時21分 Id=hoihoi-p

>>:1. 〜〜cvs 置いてあるのは web 鯖のほうなのかハッキリしない。
>>:2. 〜〜ユーザ情報をどのように管理しているか書いていない。
xoopsを知らないので、憶測は危険ですが、zopeと同様の構造と想定すると、ユーザ管理情報は別鯖で管理してるは思えないんですがねー。
 
>>:それともオープンな管理方法に関する sourceforge-ml でもあるのでしょうか。
聞いた事ない!? だって、提供してるのはコミュニティーではなく企業ですから。
 
>>:私は今回の件、少し疑問を感じてます。場合によっては抜けます。
僕はもう全く使ってないですが、すくなくとも、知らない利用者の迷惑考えると、少なくとも、コンテンツ消去の義務はあるよなー。 
と、思ってます。



250 owa 2004年 2月13日 23時27分 Id=owa

>>248 クラックされたそうな
Slashdot に何か情報出るかと思って待ってみたけど、さほどでもなさそうなので...
1. Sourceforge の情報によると特定プロジェクトの web サイトがクラックされて鯖に侵入されたと云うことだけど、cvs 置いてあるのは web 鯖のほうなのかハッキリしない。
2. ユーザ管理情報は別鯖で管理してると書いてあるけど、鯖管の詳細は書いていない。
と云うか、ユーザ情報をどのように管理しているか書いていない。
管理方法ってオープンにできないものなのでしょうか? しない方が便利に違いないけど。
それともオープンな管理方法に関する sourceforge-ml でもあるのでしょうか。
私は今回の件、少し疑問を感じてます。場合によっては抜けます。



249 kiyo 2004年 2月13日 18時43分 Id=kiyo

>>248 xoops
xoopsって PHP版の Zope そっくりなあれですね。
Zope でなくてよかった。




248 hoihoi-p 2004年 2月13日 13時46分 Id=hoihoi-p

SourceForge.jpがクラックされたそうな。
xoopsのAgenda-Xモジュールの脆弱性をつかれたようで、「あらかじめいくつかの対策をとっていたため,大きな被害は出ていません.」と、宣う。
 
御世話になってる方は、復旧後、cvsの再コミットやtar玉の再アップした方がいいと思いますが、どうでしょ。??
 
「今後の対応:〜〜〜〜また,ユーザにとって必要のないファイルにはアクセスできないよう,アクセス権を設定します.」
って、アクセス権の設定もしてなかったの?



247 hoihoi-p 2004年 1月16日 17時52分 Id=hoihoi-p

Snort+ACIDのインストール記録のドキュメントを更新して、Wikiセキュリティーに移しました。



246 kiyo 2004年 1月16日 9時 3分 Id=kiyo

fzug.zive.net は接続できなくなったようです。
更新は DiCE でやっていて別のものは更新できているのですが、
昨日自宅から直接 ZIVE へ更新にいくとパスワードで蹴られました。(なして?
 
よって、まなげ接続用 fzug.zive.net は fzug.com へ置き換えましたのでよろしくお願い致します。