Yasushi Oshima
oshim****@yagot*****
2007年 10月 22日 (月) 22:56:46 JST
おおしまです。 Mon, 22 Oct 2007 20:19:16 +0900 頃 Kan Ogawa <super****@jcom*****> さん曰く > 小川です。 > Geronimoのデータベース・レルム(SQLレルム)にセキュリティー脆弱性が > 発見されました。 > https://issues.apache.org/jira/browse/GERONIMO-3543 > この問題の影響を受けるバージョンは、v2.0.1、および、v2.0.2です。 > v1.x系については、JIRAに記載されていないので、まったく影響なしと > 解釈してよろしいんでしょうかね。 2.0の修正箇所を1.1.1リリースのソース及び、 1.1 branchのソースと 比べてみました。ソースが微妙に異なるため絶対とは言いませんが、大 丈夫だと思います。 問題となった存在しないユーザのときはちゃんとFailedLoginException が上がると思います。 # 動作させて確認したわけではありませんが。 > ここ最近、Geronimoに対するセキュリティー脆弱性が、立て続けに報告 > されています。Geronimoサーバーもそうですが、Tomcatなど、ユーザー > がインテグレーションするアプリケーションの動作に必須となるコン > ポーネントについては、いざというときのために、ソースコードからバ > イナリーをビルドできるようにしておいたほうがいいですね。 そうですよね。 手元にbuild環境を用意しているので、今回の修正も入った後の2.0 branch で2.0.3-SNAPSHOTのbinaryを作ってみました。 2.0.2から既にいくつか変更が入っているので今回の修正パッチのみという わけではないのですが、とりあえず正常にビルドできています。 # 今回の場合は該当部分だけ修正した2.0.2+αも作ることは可能だと思い # ます。これなら問題のclassだけモジュール入れ替えもたぶん可能。 -- おおしま やすし
