LOGIN ID Password Auto Login Register Now! Lost Password?
Xoops Q&A

Pical に起因するエラー回避希望

  • このフォーラムに新しいトピックを立てることはできません
  • このフォーラムではゲスト投稿が禁止されています

投稿ツリー


前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2012/8/29 10:36 | 最終変更
nonn50  Petty Officer 居住地: ☆☆  投稿数: 73
毎度お世話になります。

これまで利用していたサイト(XOOPS Cube Legacy 2.2.1)が、小生のオペレーション・ミスで利用不能となった為、これを破棄して改めて同一サーバー上に新設工事を行っています。

新・旧ともに、xoops X のパッケージを利用しています。

旧環境で学習したこととして、xoops X に同梱されている Protector(v3.50)を利用すると「管理者自身がセキュリティチェックに引っかかってしまいアクセス不能になる」為、Protector 3.41(2009/11/17版)を利用していました。
しかし、xupdateモジュールにより legacy モジュールを自動アップデートさせた場合、Protector モジュールもアップデートさせられてしまうことから、現在行っているXOOPSの改修工事においては(何としてでも)Protector v3.50 が動作できる環境にしたいと考え、レンタルサーバー会社と調整中です。

しかし、レンタルサーバー会社との調整が整わない中で、Protector モジュールを設置しないままに XOOPS を動かしてみました。
現状でインストールしたモジュール群の中には、Pical(xupdateにて自動インストールした物) が含まれています。

●前置きが長くなりましたが、これからが本題です。

以上の状況で、Pical が原因と推定される以下のメッセージが表示されます。
>piCal cannot work without Protector's BigUmbrella anti-XSS.

このメッセージは、piCalのバージョンを 0.95-r40、0.95RC1 に取り換えてみても発生しました。
ネット検索してみましたところ、以下により「PEAK XOOPS - piCal-0.91のXSS脆弱性」として掲載されている内容にたどり着きました。
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=476
この内容により修正を求められている 「index.php 154行目」に関する記述は上記の piCalの各バージョンにおいては全て修正済でありましたので、別の脆弱性が出てきたのかしらん(?)と素人考えしています。

このことは、PEAK XOOPS サイトの当該記事内にも記載されているとおり
>なお、Protectorをちゃんとインストールして、「大きな傘 anti-XSS」を有効にしていれば慌てる必要はありません。
とのことであり、Protector をインストールすれば解決する問題であると思います(Protector 3.41をインストールしていた旧環境では発生していません)が、見識者による抜本的な解決をしていただけることを希望する次第です。
投票数:0 平均点:0.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2012/8/30 8:50 | 最終変更
taroj  2nd Class   投稿数: 25
nonn50 さん こんにちは

たぶんですが、Protector3.50モジュールの

一般設定の下のほうにある

サイト改ざんチェックを有効にする

を「いいえ」にしてみてください。

※違っていたらすみません。
投票数:0 平均点:0.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2012/8/30 10:12 | 最終変更
nonn50  Petty Officer 居住地: ☆☆  投稿数: 73
taroj さん、レスいただきありがとうございます。

Picalを利用するからには、Protectorが必須のようでしたので、昨夜 v3.50をインストールしました。
当面、管理者がアクセスできない状況は発生していません。
それでも、アドバイスいただいたとおり「サイト改ざんチェックを有効にする」を「いいえ」にしてみました。
これで、様子を見てみます。
これについては、ありがとうございました。

しかし、本投稿で小生が述べたかったことは「Protectorを設置しなければ XSS のエラーが発生する、現在の Picalを修正する必要があるのでは..」ということです。

あれから試験運用する中で、
>piCal cannot work without Protector's BigUmbrella anti-XSS.
は、Protectorを設置する前は piCalそのものを利用する場面以外でも、結構出現しました。
投票数:0 平均点:0.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2012/8/30 21:04
taroj  2nd Class   投稿数: 25
nonn50さん こんにちは

http://xoops.peak.ne.jp/md/mydownloads/singlefile.php?lid=89&cid=1&ea...

引用:
●重要な通知

piCalは設計の古いモジュールであり、どこかにXSSがあっても不思議はあり
ません。そんなXSSが後から見つかってJPCERT/CCなどに報告されても、とて
も対処しきれないので、0.93以降では、Protectorの「大きな傘 Anti-XSS」
が有効でないと、一切動作しないように仕様変更しました。

この仕様変更が痛いようなら、piCalのアップデートやインストールをしないでください。

と書いてあるので、Protectorは必須のようです。

根本的に直すのは私にはちょっと難しいのでご了承ください・・・
投票数:0 平均点:0.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2012/8/31 12:28 | 最終変更
nonn50  Petty Officer 居住地: ☆☆  投稿数: 73
taroj さん、重ねてレスを頂戴し、たいへん恐縮です。

引用いただきました内容を読んでおりませんでした。
申し訳ありません。

本件、承知しました。

今後とも、よろしくお願いします。

追伸
先に御指導いただきました Protectorの設定変更を行い、これ迄のところProtectorは元気に活動しており、Protectorによる管理者がアクセクできない状況も発生しておりません。(もう大丈夫と思っています)
重ねて御礼申し上げます。
投票数:0 平均点:0.00
  条件検索へ

Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities