うぇぶ会議室の部屋3への投稿
記事番号00820へのフォローを投稿します。
お名前(ペンネイムで結構ですが必要です)
(
ブラウザに個人情報を覚えさせない)
電子メイルアドレス(必要です)
題名(必要です)
Home Page がある方はリンク希望先の URL を記載して下さい
会議室に載せたい内容を以下へお書き下さい (
HTMLを解釈せずにそのまま表示)
1月15日に、にあさんは書きました。 >最近「うぇぶ会議室」ユーザの方から「うぇぶ会議室」に >セキュリティホールを発見したとの報告を受けました。 >こちらで追試を行なった所、確かに再現し、安全上非常に >問題のあるバグであることが判明しました。 > >直ちに問題のあるスクリプトに対してパッチを当て、現在の >配布バージョンは、更新の済んだVer.1.7c<SUP><A HREF="#1.7c">*1</A></SUP>になっています。 > >申し訳ありませんが、早急に「うぇぶ会議室」のヴァージョンを >最新ヴァージョンに更新することをおすすめします。 > >【セキュリティホールの内容】 >・ユーザカスタマイズで特定の文字列を設定することにより、 > CGI権限で任意のコマンドが実行できる。なお、問題のあるバージョンは > Ver.1.6aからVer.1.7aまで。 >・特定文字列を書くことにより、SSI(Server Side Include=Parsed HTML) > 構文が有効になる。なお、問題のあるバージョンはVer.1.7aまで。 > >【対応方法】 >・セキュリティホールを塞いだヴァージョン(Ver.1.7b以降)に更新する。 > あるいは、安全上問題のあるスクリプトを、パッチ済みヴァージョンに > 更新する。 > >【セキュリティホールの存在するスクリプト】 >・forum.pl、contents.cgi、拡張機能の recent-ex.cgi、および、 > TAD氏提供の拡張機能であるref_byname.cgiの4つ。 > >【最新ヴァージョンの場所】 >・tar+gzでのアーカイヴ版 (Ver.1.7c) > <A HREF="http://www2.biglobe.ne.jp/%7Enir/soft/forum-1.7c.tar.gz">http://www2.biglobe.ne.jp/%7Enir/soft/forum-1.7c.tar.gz</A> >・自己解凍CGI版 (Ver.1.7c) > <A HREF="http://www2.biglobe.ne.jp/%7Enir/soft/forumset.17c">http://www2.biglobe.ne.jp/%7Enir/soft/forumset.17c</A> > >【個別パッチ版の場所】 >・forum.pl (Ver.1.18.1.3) > <A HREF="http://www2.biglobe.ne.jp/%7Enir/soft/patch/forum/1.7a/forum.pl">http://www2.biglobe.ne.jp/%7Enir/soft/patch/forum/1.7a/forum.pl</A> >・contents.cgi (Ver.1.22.1.2) > <A HREF="http://www2.biglobe.ne.jp/%7Enir/soft/patch/forum/1.7a/contents.pl">http://www2.biglobe.ne.jp/%7Enir/soft/patch/forum/1.7a/contents.pl</A> >・recent-ex.cgi (Ver.1.17) > <A HREF="http://www2.biglobe.ne.jp/%7Enir/soft/forum-ex/recent-ex.pl">http://www2.biglobe.ne.jp/%7Enir/soft/forum-ex/recent-ex.pl</A> > >TAD氏提供の ref_byname.cgi に付いても既にパッチが済んでおり、 >氏のペーヂ上で公開されています。 > >・ref_byname.cgi (Ver.0.82) > <A HREF="http://www2f.biglobe.ne.jp/%7Ehotani/forum/ref_byname.pl">http://www2f.biglobe.ne.jp/%7Ehotani/forum/ref_byname.pl</A> > >早急な更新、ないし、更新が済むまで会議室の一時的な休止をお願いいたします。 > >なお、こちらで把握している会議室オーナの方々には、これとほぼ同文のお知らせを >昨年中に送付済みです。この記事はリストに漏れている方々や、会社・学校等の >Intranetで使用している方々にもセキュリティバグに付いて注意を促すために >行なっています。 > ><A NAME="1.7c"><SUP>*1</SUP></A> Ver.1.7bと1.7cの違いは、同梱してあるjcode.plが2.9から2.10になった > だけです。本体には変更がありませんので、Ver.1.7bを使っている方々は > jcode.plだけ<A HREF="../jcode.pl">Ver.2.10</A>に差し替えて下さい。
ホームペーヂに戻る
nir@mvg.biglobe.ne.jp
Last Update: 2 December 1999