LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ News
  
投稿者 : kilica 投稿日時: 2008-12-09 23:09:43 (2159 ヒット)
セキュリティ情報

Cubookmarken/DBkmarken に SQL インジェクション脆弱性が見つかりました。

ご利用いただいている皆様にはまことに申し訳ありませんが、最新版へのアップデートをお願いいたします。

Cubookmarken
http://xoops.trpg-labo.com/modules/wiki/?Menu/Cubookmarken

DBkmarken
http://xoops.trpg-labo.com/modules/wiki/?Menu/DBkmarken


投稿者 : GIJOE 投稿日時: 2008-10-30 18:11:40 (2087 ヒット)
セキュリティ情報

Protectorのログに、SQL Injection系のがいっぱい残っていて、そのパターンが気になったので調べてみたら、比較的最近にmakaleという名前のモジュール(いわゆるアーティクル系?)に、SQL Injectionが見つかったそうです。
http://secunia.com/Advisories/32347/


投稿者 : fabi 投稿日時: 2008-06-23 16:11:17 (4062 ヒット)
セキュリティ情報

lumbago氏からnewbb(及びその元プログラムであるphpbbも)に対して、悪質なウィルス(Trojan-Downloader.VBS.Psyme.fb)を感染する恐れのある投稿が5月に頻発した旨の連絡がありました。
オンラインゲームのアカウントハックが目的のようですが、悪質であることを考え、ニュースに転記させていただきました。

newbbをご利用のユーザは、該当ユーザ(yh33ddd)が書き込みをしていないかどうかチェックしてください。xhnewbbに関しては今のところ大丈夫のようです。


以下フォーラムからの転記
*********************************************************
 今更っぽいんですが、5月初旬から中旬にかけて、オンラインゲームのアカウントハックを狙い、フォーラム(phpBBとかXOOPSのnewbbとか)からウイルスをダウンロードさせようとする投稿者が活発に活動していたようです。Kasperskyによると、「Trojan-Downloader.VBS.Psyme.fb」という名前のウイルスみたいです。

 IDは「yh33ddd」で、活動状況を見た感じ、スクリプトでやっているのではなく、手動でユーザ登録して書き込んでいるかもしれません。

1.URLと紹介文みたいのを書いて、ウイルスが仕込まれているページに誘導
2.imgタグを使ってウイルスを送り込む

 の二つが書き込みパターンのようです。直前に書き込まれた他者の記事をコピーしてURLを書き込むという技もあるようです。newbb以外にも書き込んでいる(たとえばXOOPS Cube日本サイトのxhnewbb)んですが、リンクをうまく貼れないか、imgタグを使えないかで失敗しているみたいですね。
 とりあえず、newbbを使ってフォーラムを運営している人は同名アカウントの登録者がいないかを確認して、もしいたら5月頃になにか書き込んでいないかチェックした方がいいかも。


投稿者 : nao-pon 投稿日時: 2007-12-06 15:38:59 (3691 ヒット)
セキュリティ情報

先日、xpWiki における SQLインジェクション脆弱性のお知らせを致しましたが、PukiWikiMod においても、同様の脆弱性が見つかりました。

基本的に、xpWiki で見つかった脆弱部分と同様なのですが、xpWiki に比べて、攻撃の難易度は若干高いです。しかしながら、攻撃可能には変わりないので、該当バージョンをお使いの方は、Ver 1.6.6 以降に至急アップデートされることを強くお勧め致します。

- 差分パック
-- http://xoops.hypweb.net/wiki/3207.html

- ダウンロード
-- http://xoops.hypweb.net/modules/mydownloads/singlefile.php?cid=3&lid=15

お手数お掛けしますが、よろしくお願い致します。


投稿者 : Kaz 投稿日時: 2007-11-27 14:12:09 (3572 ヒット)
セキュリティ情報

作者さんから報告がありました。
以下,フォーラムからの転載です。
------------------------------------

みなさん、こんにちは。

メンテナンスをしていたら、Version 3.37 以前に、SQLインジェクションの脆弱性があることを発見致しました。

Ver. 3.38 にて、早速修正を行いましたので、該当バージョンをお使いの場合は、一刻も早く Ver. 3.38 以降にバージョンアップするか、信頼の置けるグループ以外はアクセス禁止にしてください。

お手数をお掛け致しますが、この脆弱性が悪用される前に迅速な対応をよろしくお願い致します。

- パッケージ版 最新版ダウンロード
-- http://xoops.hypweb.net/modules/mydownloads/singlefile.php?cid=3&lid=22
- CVS版最新版ダウンロード (trust側)
-- http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/hypweb/XOOPS_TRUST/modules/xpwi...


« 1 2 (3) 4 5 »
Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities