Jeans & Development:
Deprecated: Function strftime() is deprecated in /home/u109394186/domains/rad51.net/public_html/jeans/jeans/libs/blog.php on line 333
2011年 03月の記事
レガシーwebアプリケーションを、ファイアウォールの内側で利用する [セキュリティー]
2011年3月9日
古くなったwebアプリケーションは、既知の脆弱性がそのまま放置されているようなケースが良くある。こうなると危なくてもう使えない(イントラネットで使うようなケースは別)。
そういったアプリケーションのすべての機能ではなく、一部の機能だけ使いたいというようなことは良くあるだろう。そういう場合、その一部の機能を担うための情報だけサニタイズして与えれば、問題なく使えるはずである。
使用中のwebページでそういったことに相当するケースがあったので、対処してみた。
そういったアプリケーションのすべての機能ではなく、一部の機能だけ使いたいというようなことは良くあるだろう。そういう場合、その一部の機能を担うための情報だけサニタイズして与えれば、問題なく使えるはずである。
使用中のwebページでそういったことに相当するケースがあったので、対処してみた。
Nucleus CMS ver 3.62に、XSS脆弱性 [Nucleus]
2011年3月5日
Nucleus CMS ver 3.62に、XSS脆弱性があることが確認されました。
japan.nucleuscms.org: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
nucleuscms.org: Nucleus CMS 3.63 Released
それぞれ、次のようなケースで攻撃を受ける可能性があります。
英語版 3.62:
・"Configuration"の"Member Settings"で、"Allow Visitors to Create a Member Account"を"yes"にしている場合。
日本語版 3.62:
・「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定していて、かつ、
・createaccount.phpのPHP文法上の誤りを修正して使っていて、かつ、
・PHPの設定で、registerglobals=ONとしている場合。
japan.nucleuscms.org: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
nucleuscms.org: Nucleus CMS 3.63 Released
それぞれ、次のようなケースで攻撃を受ける可能性があります。
英語版 3.62:
・"Configuration"の"Member Settings"で、"Allow Visitors to Create a Member Account"を"yes"にしている場合。
日本語版 3.62:
・「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定していて、かつ、
・createaccount.phpのPHP文法上の誤りを修正して使っていて、かつ、
・PHPの設定で、registerglobals=ONとしている場合。