LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ Forum

XoopsGallery本家版(?)のRFI

  • このフォーラムに新しいトピックを立てることはできません
  • このフォーラムではゲスト投稿が禁止されています

投稿ツリー


前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2008/1/11 5:08
GIJOE  Admiral 居住地: 2003年4月くらい  投稿数: 3708
最初はニュースに書こうと思ったのですが、どうも日本語版では関係なさそうなので、雑談で。

本家で公開されている XoopsGallery 1.3.3.7 に、リモートファイルinclude脆弱性が見つかりました。

http://packetstormsecurity.org/0801-exploits/xoopsgal-rfi.txt

いや、見つかった、というより、ひどくお粗末な内容で、今どきregister_globals=offの環境のためにextract($_GET)やってるなんて信じられません。その後に、include $GALLERY_BASEDIR.'...' なんてやっているんですから救えません。
こういう、あまりにもシンプルな大穴なので、残念ながら、Protectorでは防げません。
(出来るのは、allow_url_fopenをoffにしてね、という警告を出すだけ)


本家ではそれなりの話題になっていて、即死したサイトもいくつか出ているようです。
配布元である xoopsgallery.org もネームサーバレベルで落ちています。(原因は不明)


ただ、このバージョンを使っている人はおそらくいないはずです。
日本でXoopsGalleryを使っているとしたら、HALさんが手を入れたバージョンのはずです。

そのバージョンを落とせる場所がみつからない(ADSLnetもつながらない)のですが、XoopsGallery日本語版を運用しているサイトの init_basic.php にアクセスしても404になるので、おそらくは全然違うソースコードなんじゃないでしょうか。

もし、使っている人がいたら、'extract' でgrepかけてみてください。なければ問題ありません。
投票数:7 平均点:10.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2008/1/12 1:05
chika3  Secretary of the XUGJ 居住地: 3年くらい  投稿数: 187
引用:

GIJOEさんは書きました:

ただ、このバージョンを使っている人はおそらくいないはずです。
日本でXoopsGalleryを使っているとしたら、HALさんが手を入れたバージョンのはずです。

そのバージョンを落とせる場所がみつからない(ADSLnetもつながらない)のですが、XoopsGallery日本語版を運用しているサイトの init_basic.php にアクセスしても404になるので、おそらくは全然違うソースコードなんじゃないでしょうか。

もし、使っている人がいたら、'extract' でgrepかけてみてください。なければ問題ありません。

いつも素早い情報をありがとうございます。

手元にいくつかアーカイブが残っていたので見てみたのですが、init_basic.php に近いファイル名で該当のコードが見かけられましたので注意が必要です。
投票数:4 平均点:10.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2008/1/12 4:03
GIJOE  Admiral 居住地: 2003年4月くらい  投稿数: 3708
引用:

chika3さんは書きました:
手元にいくつかアーカイブが残っていたので見てみたのですが、init_basic.php に近いファイル名で該当のコードが見かけられましたので注意が必要です。

ああ、だとしたらソースコード的にも近いんですかね。
この穴は、サーバに置いてあるだけでアウトなので、それこそディストリかなんかで、意図しないでサーバにアップされていた、なんてのが怖いパターンかもしれません。

本家のニュースにもなっているようですが、"inactivate"じゃ、おそらく何の意味もありません。サーバから消さないと。

XoopsGallery2.1なんてのも出ていたんですね。
もっとも、そっちを確認しようにも、やっぱり配布先がつながらない…
投票数:4 平均点:10.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2008/1/12 5:12
toshi  Chief Officer 居住地: 2006.9〜  投稿数: 136
XoopsGallery の日本語版は、OceanBlue Web Site さんが現在配布されているものがあります。

http://oceanblue.x.cmssquare.com/modules/mydownloads/singlefile.php?cid=2&...

modules/xoopsgallery/init.php に似たようなコードがありました。

ただ、現在は xcGallery v2.03 をベースにした D3対応版を開発しておられるようですが、こちらのバージョンで同様のコードは見られませんでした。

後ほど、配布元にもこのスレッドで話題になっていることを連絡したいと考えております。
投票数:4 平均点:10.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2008/1/12 5:23
GIJOE  Admiral 居住地: 2003年4月くらい  投稿数: 3708
toshiさん、こんにちは。

引用:

XoopsGallery の日本語版は、OceanBlue Web Site さんが現在配布されているものがあります。
さっそく拝見してみましたけど、RFIはなさそうですね。
requireは必ず、dirname(__FILE__) でやってますから。

ただ、グローバルスコープにextract()があるのは、やっぱり気持ち悪いですね。
変数汚染からいくらでも攻撃手段が導けそうです。

引用:
ただ、現在は xcGallery v2.03 をベースにした D3対応版を開発しておられるようですが、こちらのバージョンで同様のコードは見られませんでした。

それは全然違うでしょうね。
XoopsGalleryは、Galleryベース
xcGalleryは、Coppermineベース
と、移植元がまったく別のアプリケーションですから。
投票数:4 平均点:10.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2008/1/12 5:40
toshi  Chief Officer 居住地: 2006.9〜  投稿数: 136
ごめんなさい。

完全に私の早とちりでした。失礼いたしました。
投票数:2 平均点:10.00
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2008/1/12 6:00
GIJOE  Admiral 居住地: 2003年4月くらい  投稿数: 3708
toshiさん、こんにちは。
引用:

ごめんなさい。
完全に私の早とちりでした。失礼いたしました。
あれ?
何も失礼なことなんてありませんよ。
むしろtoshiさんのおかげで、早々にRFIがないことを確認できて、みんなも安心できたんじゃないでしょうか
投票数:6 平均点:10.00
  条件検索へ

Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities