Nucleus(JP)フォーラム
#1 2011-03-06 06:17:36
- Katsumi
- メンバー
- From: CA
- 登録日: 2005-06-24
- 投稿: 637
- ウェブサイト
Re: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
このバージョンでは、3.62のcreateaccount.phpにあったXSS脆弱性が修正されています。日本語版 3.62では、本家のものと若干異なるコードが使われていて、英語版3.62にあったものと同じ脆弱性は存在しません。
ただし、英語版3.62とは別の脆弱性が、日本語版3.62のcreateaccount.phpに存在することが分かりました。攻撃を受ける可能性があるのは、以下のような状況でNucleusを運営している場合です。
1)「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定している。
2)createaccount.phpにはもともとPHP文法の誤りがあり、パースエラーを起こしていてコードが実行されない状態になっていたが、この文法上の誤りを修正して使っている。
3)PHPの設定で、registerglobals=ONとしている。
上記の3つすべてに当てはまる場合は、攻撃を受ける可能性がありますので、次のパッチを適用してください。
Nucleus-SQLite の配布は終了しました
VBScript / JScript で Win32API / 構造体 / コールバック関数: SFC mini
オフライン
#2 2011-03-06 06:23:13
- Katsumi
- メンバー
- From: CA
- 登録日: 2005-06-24
- 投稿: 637
- ウェブサイト
Re: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
少し補足します。日本語版をお使いで、上記記事の3つの条件のうち1つでも当てはまらないものがある場合は、今回修正された脆弱性について攻撃を受けることはありません。
1に当てはまらない場合は、createaccount.php及びcreateaccount.htmlは不要ですので、削除するのが良いでしょう。
2に当てはまらない場合は、上記パッチを当てて、正常の運営状態にすることをお勧めします。
3についてですが、Nucleusはregisterglobals=OFFで正常に動作するように設計されています。PHPの設定をregisterglobals=OFFとすることが、セキュリティー上、強く推奨されます。
英語版Nucleus CMS ver 3.62をお使いの方は、このトピックのパッチではなく、3.63もしくはそれ以降のバージョンを使ってください。英語版の場合、registerglobalsの値に関係なく、"Configuration"の"Member Settings"で、"Allow Visitors to Create a Member Account"を"yes"にしている人すべてが対象です。
Nucleus-SQLite の配布は終了しました
VBScript / JScript で Win32API / 構造体 / コールバック関数: SFC mini
オフライン
#3 2011-03-22 23:28:48
- Mocchi
- メンバー
- 登録日: 2006-11-19
- 投稿: 438
Re: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
Mocchiです。
Katsumiさんにより、日本語版の開発ソースにコミットされました。リビジョン1149です。
http://sourceforge.jp/projects/nucleus- ... ision=1149
Katsumiさん、どうもありがとうございました。
オフライン