大和田 健一
linux****@ohwad*****
2005年 10月 24日 (月) 20:46:47 JST
[セキュリティ情報] XOOPS 本体 ● XOOPS 本体 XOOPS 2.0.13JP が公開されました。 http://xoopscube.jp/modules/cubeNews/index.php?action=detail&id=14 重要なセキュリティ・パッチが含まれています。 ただちに、バージョンアップすることをお勧めします。 ● 脆弱性の概要 (1)・newbbおよびXOOPSコメントにおいて登録された情報のサニタイズ処理に問題があり、クロスサイトスクリプティングによるセッションハイジャックが行われる危険性があります。セッションハイジャックが実行されると、サイト内容の改ざん/非公開情報の漏出などを引き起こされる恐れがあります。 (2)・bbcodeのデコード処理に問題があり、InternetExplorerを使用してアクセスしたユーザーに対して、悪意あるスクリプトが実行され、クロスサイトスクリプティングによるセッションハイジャックが行われる危険性があります。 (3)・misc.phpの処理にバグがあり、phpMailerが構築するエンベロープ/本文にインジェクションが行われる危険性があります。この事により、XOOPSをインストールしているサーバーから不特定多数にメールをばら撒かれてしまう恐れがあります。 (4)・contactモジュールの処理にバグがあり、phpMailerが構築するエンベロープ/本文にインジェクションが行われる危険性があります。この事により、XOOPSをインストールしているサーバーから不特定多数にメールをばら撒かれてしまう恐れがあります。 (5)・MediaUploaderを使用して、ヘッダを偽造した悪意あるファイルをアップロードすると、ユーザーがInternet Explorerを使用して同ファイルに直アクセスしたときに、悪意のあるスクリプトを実行され、セッションハイジャック等が引き起こされる恐れがあります。 ● 「XOOPS for You」の module.textsanitizer.php ハック版 2.0.13JP 対応版が公開されました。 http://linux.ohwada.jp/modules/mydownloads/singlefile.php?cid=1&lid=58 -- 大和田 健一 <linux****@ohwad*****>
