注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
piyokangoさんが詳しいが自分も少し調べたので。 d.hatena.ne.jp ImageTragick どんな脆弱性? 外部から... piyokangoさんが詳しいが自分も少し調べたので。 d.hatena.ne.jp ImageTragick どんな脆弱性? 外部からの入力により、意図せずに、ファイルを読みこんだり、ファイルを移動したり、削除したり、特定のURLにアクセスしたり、任意のコードを実行可能な脆弱性。 どういうアプリが攻撃される? 画像をアップロードしてImageMagickを使って変換するみたいなサービスが狙われるかな。 どういう仕組みで攻撃しているのか ImageMagickはいろんな種類のファイルを処理できるが、そのためにcoderとdelegateという機能がある。coderはライブラリとして各種ファイルを変換する機能、delegateは適切なcoderがなかった時に、外部コマンドを用いて変換する機能である。 CVE-2016-3714(コード実行の脆弱性)については、delegateの機能で外部コマ
2016/05/11 リンク