LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ News
  
投稿者 : fabi 投稿日時: 2007-10-02 22:42:18 (3556 ヒット)
セキュリティ情報

日本サイトにも出ているようですが、1.3系と2.0系について脆弱性がある旨Secuniaのadvisoryがありました。
http://secunia.com/advisories/27006/

本家もこれに対してパッチをリリースしています。
http://www.xoops.org/modules/news/article.php?storyid=3963

この脆弱性が2.0.10以降のJPバージョンやXCL2.1に関わってくるのか、その場合、本家版パッチがJP版にも有効かどうかは今のところ不明です。取りあえずそれほど緊急の穴ではないようですので、追加情報を待ってください。

ZDNet Japanの元記事
http://japan.zdnet.com/security/story/0,3800079245,20357743,00.htm
--------------

これらはすべて本家コアチームの基本的な誤解によるものなので、気にしなくて構いません。
http://www.xugj.org/modules/d3forum/index.php?post_id=3332
も併読してください。

このニュースだけ見ると、先にSecuniaのレポートがあって本家が対応したように読めますが、本家のパッチリリースを見つけたSecuniaがネタにしただけですね。(実際、Secuniaのレポートも元ネタがXOOPS本家だと書いてある)


投稿者 : fabi 投稿日時: 2007-09-13 23:31:35 (3265 ヒット)
セキュリティ情報

また最近ちらほらとXOOPSがクラックされた情報を目にするようになってきました。

モジュールを長らくバージョンアップしていない方は、すぐに最新バージョンに移行してください。情報の乏しい海外製のモジュールを使用している方は、自身のセキュリティ管理が万全であるか十分注意してください。

もしあなたのサイトにProtectorモジュールが入っていないのであれば、今すぐ導入してください。これにより万全ではなくともかなりの部分の攻撃は防げるはずです。
http://www.xugj.org/modules/manual2/content/index.php?id=14

セキュリティパッチが当たったバージョン以前の古いモジュールを使っているということは、全世界に向けてセキュリティホールを晒しているのだという自覚を持ってください。

オープンソースソフトウェアを使うということは、セキュリティリスクも自己管理しなければならないということをXOOPSユーザは理解してください。WindowsUpdateのような便利なものはここにはありません。


投稿者 : fabi 投稿日時: 2007-06-18 16:53:38 (3460 ヒット)
セキュリティ情報

作者から情報提供がありました。

xpWiki Ver 1.18 - 2.16 に、SQLインジェクションの脆弱性が見つかりました。
一刻も早く Ver 2.17 以降にバージョンアップするか、サーバーから削除してください。
とのことです。

最新バージョンのダウンロードは下記を参照。
パッケージ版(追記)
http://xoops.hypweb.net/modules/xpwiki/#pa6659db
CVS版
http://xoops.hypweb.net/modules/mydownloads/


投稿者 : fabi 投稿日時: 2007-06-13 23:23:29 (5383 ヒット)
セキュリティ情報

GIJOEさんからXOOPSのメール設定におけるセキュリティホールのアナウンスが出ています。
対象は「一般設定>メール設定」で「メール送信方法」をあえて"sendmail"に変更(デフォルトは"PHP mail()")している人です。

ゼロデイの穴なので、該当する人は緊急に対処してください。

詳しくはGIJOEさんのサイトをお読みください。
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=431


20070623追記:
もし、sendmailでなければうまく動かないと言う場合、XOOPS2.0.xをお使いの方は本家のパッチを/class/mail/phpmailer/class.phpmailer.phpに当てると言う方法があります。(JP版にも利用できます)
http://xoopsforge.com/mailer/xoops20-phpmailer.zip
これを当ててしまえばsendmailに戻しても大丈夫です。

XOOPS Cube Legacy2.1.xの場合は2.1.1安定版でこれに関しての修正が行われていますので、2.1.0の方はバージョンアップしてください。

参考スレッド:
http://www.xugj.org/modules/d3forum/index.php?post_id=2817


投稿者 : GIJOE 投稿日時: 2007-06-10 04:54:35 (8562 ヒット)
セキュリティ情報

最近、XF-Section経由でPHP権限を乗っ取る攻撃が流行しています。

スーパーグローバル変数展開による変数上書きから、include/require文で外部PHPファイルを実行する、という古典的な手口です。

その致命的な穴自体は、確か2006 OSC Springの時点で公開されていたので、みなさんご存じだと思っていたのですが、あのTomさんさえ知らなかったようなので、もしかしたらと思って、一応ニュースに上げておきます。

もしかすると、穴自体は1年以上前に見つかっていたのが、ScriptKiddie連中に知られたのがつい最近、ってことなのかもしれません。


以下、XF-Sectionを運用している人へのアナウンス。

可能なら、allow_url_fopenをoffにしてください。それだけで、とりあえずはなんとかしのげます。

それが不可能なら、確かその作者は修正版を出していないので、SmartSectionに移行してください。移行パスが用意されているはずです。

------------
修正版も出していたそうです。
XFsection 1.12a


« 1 2 3 (4) 5 »
Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities