Ploneで運用されている米国FBIのサイトから脆弱性により情報が漏洩したという一部報道について
一部のメディアおいて、Ploneで運用されている米国FBIのサイトの脆弱性により情報が漏洩したという報道がされていますが、これに対してのPlone Foundationからの正式なコメントがリリースされていいますのでお伝えいたします。
元記事の概要
Twitterのあるユーザーが、Ploneで運用されているFBIのサイトの脆弱性を攻撃し、バックアップファイルなどの情報の取得していると主張したものです。またこのユーザーは、「acl_users」ディレクトリへアクセスし、「.bck」 の拡張の複数のバックアップデータの取得に成功したと主張しています。
Plone Foudation、Ploneコアデベロッパー の見解の概要
このTwitterユーザーの主張していることは「虚偽のもの(hoax)」である断言します。以下の理由によります。
- Plone及びPhythonはcbi-bin 形式で実行されているものではない
- Ploneには主張している「acl_users」というディレクトリは存在しない
- Ploneには主張している「.bck」という拡張子のバックアップファイルは存在しない
- 主張するハッシュも偽物であり、掲載された画面も加工されたものである
Ploneは誕生から15年に渡り、重大なセキュリティの脆弱性のない高いセキュアを備えたCMSとして継続的に開発、レビューが行われています。
通常セキュリティフィックスのリリースは2週間の告知期間を経てリリースされます。またゼロディ攻撃の可能性があるときは、速やかにリリースする体制を整えています。
詳しくは、plone.orgのリリースをご覧ください。
https://plone.org/news/2017/plones-outstanding-security-track-record
