LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ News
セキュリティ情報
セキュリティ情報 : ArticlesモジュールのSQL Injection
投稿者 : GIJOE 投稿日時: 2007-03-28 06:33:09 (3609 ヒット)
セキュリティ情報

たぶん日本にはほとんどユーザもいないと思いますが、ArticlesモジュールにSQL Injectionが発見されてます。

http://www.securityfocus.com/archive/1/463916

このあたりの海外製モジュールって、どれもこれも穴だらけ、という印象なので、今さらという感もありますが、一応報告しておきます。

PEAK XOOPSにもさっそく、こんなのが来てます。
反応速いなあ


Isolated comment-in found. (3/**/UNION/**/SELECT/**/NULL,NULL,NULL,NULL,uid,uname,pass,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL/**/FROM/**/xoops_users/**/LIMIT/**/1,1/*)


とにかく、

・Protectorをインストールすること
・DB_PREFIXをxoops以外のものにしておくこと

この2点だけは守ってください。

ただ、SQL Injectionっていうのは、他にもいろいろ影響があったりするので、それで万全とはさすがに言い切れません。

そういうモジュールを使わないのが一番……かなあ?

*/


Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities