中島さん、夜遅くにお疲れ様です。
2008/07/09 1:37 takeshi nakashima <noyak02_at_gmail.com>:
> 塩田さん
>
> こんばんは。
> 中島です。
>
>> 現時点では java.net のアカウントと wiki.glassfish.java.net のアカウント
>> が同期してないので、別途アカウントをとる必要があります。
>
> ということだったんですね。先ほど、メールを送っておきました。
ありがとうございます。まだアクションはとっていないようですね。
おそらく近いうちにメールが来ると思いますが1−2日まってまだ
返事が無いようでしたら連絡ください。こちらから聞いてみます。
あと、以下の件情報ありがとうございます。社内の人に聞いて
みたのですが、=(イコール)に問題があるというのはどういった
security fix によるものかわかりますか?
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5333
に関連しているのかなとも思うのですが、これは double quote と
backslash ですよね。これとは別の修正が関連しているのでしょうか?
shioda
>> Sun には AMというか今なら OpenSSO があるのになんで?って
>> 聞かないでくださいね。私も何でかしりません。
>
> 話題に上がったAM/OpenSSOですが、「Tomcat の最新バージョンではCookie
> のハンドリングに失敗して動作に問題が出るのでは?」と風の噂で聞きました。
>
> http://www.jpcert.or.jp/wr/2008/wr080701.txt ← の「【6】Apache Tomcat の
> Cookie 生成処理に脆弱性」のために、"="(イコール)が含まれる Cookie がそのままの形で処理されないように修正されたようです。
>
> (6.0.14 と 6.0.16 で、付属している CookieExample の動作を比べてみると確かに違いがありました)
>
> AM/OpenSSOの Cookie には"="(イコール)が含まれるためにSSOの動作に何か影響があるのではないか、とのことです。
>
> すでにご存知かもしれませんが、ジャストFYIでした。
>