|
|
| Webテクノロジー | 2005年1月27日 00:00 |
|
Mozilla の不具合追跡システムに改ざん 著者: Sean Michael Kerner オリジナル版を読む ▼2005年1月27日 00:00 付の記事 ■海外internet.com発の記事 Mozilla Foundation 関連プロジェクトの開発者向けサイト、『mozdev.org』で運用している不具合追跡システム『Bugzilla』が25日、改ざんを受けた。mozdev.org は Mozilla 開発者向けのコミュニティサイトで、Mozilla のソースコードを基にアプリケーションや各種アドオンを構築したり、プロジェクトを運営したりすることができる。 今回の改ざんは、Mozilla 開発に参加している Henrik Gemal 氏が、自身の Blog で報告したことで明らかになった。 Gemel 氏は次のように記している。「数時間前から、bugzilla.mozdev.org からのメールが続々と届くようになった。いずれも同じ内容で、アクションも同じだ。『sexymeluckyyou73@yahoo.com』が未対応のバグのステータスを全て『Resolved Fixed』(解決/対応済み) に変更したというもので、全てのバグには『これらのバグは私が作ったものではない。パソコンを購入した時点ですでにあったものだ』というコメントが添付してあった」 Gemal 氏はその後、25日午後の早い時間までに自身のブログを更新し、攻撃者のコメントと改ざんを全て修正したと報告している。 攻撃者に改ざんを許してしまった根本原因は、現時点では明らかになっていない。だが Gemal 氏は、システムそのものが原因ではないかと考えている。 「改ざんを防ぐ手段は私にはわからない。Bugzilla では誰でもアカウントを登録でき、誰でもバグのあらゆる要素を変更できる。それが Bugzilla の利点でもあり、弱点でもある」と、Gemal 氏は Blog で述べている。 一方、誰でもアカウントを取得し、誰でもバグのステータスなどを変更できるという Gemal 氏の主張に反論を唱える人物もいる。Mozilla 開発者の Gervase Markham 氏は、Gemal 氏の Blog にコメントを書き込み、それは Bugzilla のインストール時の設定次第だと述べた。 「初期設定でも、『mozilla.org』で運用している Bugzilla の設定でも、そのような状態にはなっていない。コメントの書き込みやバグの報告以上のことをするためには、バグのステータス変更や確認ができる設定にしなければならない」 Bugzilla はこの少し前、バージョン2.18がリリースとなったばかりだ。2年前にバージョン2.16を公開して以降、1000件を超すバグ修正を施し、改良を加えたという。 |
| トップページ | 画面トップ |
|
||
|
||
|
