2020年10月15日掲示。
GitHubにセキュリティチェック機能が追加される(9/30)
GitHubにCodeQLを使ったセキュリティチェック機能が追加されたそうです。シグマクレストはインターネット上のリポジトリーにはGitLabを使うことになっているのですかね?おそらく同等機能が追っかけでつくのでしょう。
https://github.blog/2020-09-30-code-scanning-is-now-available/ (GitHub)
WordPress用チャットプラグインにCSRF脆弱性(10/14)
表題のとおり。クロスサイトリクエストフォージェリーといえば2005年にmixiで起きた「ぼくはまちちゃん」事件が有名です。Webアプリでセッションを認識する情報を使わずに飛んできた引数をそのまま信頼してしまうと起きる問題です。
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000068.html (JVNデータベース)
https://ascii.jp/elem/000/000/063/63560/ (ASCII.jp/2007年の記事)
Apache Tomcatで最大同時ストリームを超えた際にリクエスト取り違えの脆弱性(10/14)
平たく言えば「サーバーが一杯一杯になったら、誤って前のID引っ張り出して使って、昔の返事を誤送しちゃう」みたいな感じですかね。トムキャット使ってる案件は多分無いと思いますが、もしJavaが動くシステムであればパッチ当たるかもしれませんね。
https://jvn.jp/vu/JVNVU97307781/index.html (JVN)
上記Apache Tomcatの修正差分はGitHubで見られるので、見てみると面白いかも知れません。10行20行のソースコード断片だけをみても何をやっているのかがおぼろげにでも判るのは、ひとえに「判りやすい命名」が徹底されているからだと思います。
https://github.com/apache/tomcat/commit/1bbc650cbc3f08d85a1ec6d803c47ae53a84f3bb (GitHub)
