Nucleus(JP)フォーラム

NucleusCMS日本語版ユーザーのためのサポートフォーラムです。疑問が生じたらまずは記事検索をご利用ください。

ログインしていません。

#1 2011-03-06 06:17:36

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性

本家サイトにて、ver 3.63が公開されています。

このバージョンでは、3.62のcreateaccount.phpにあったXSS脆弱性が修正されています。日本語版 3.62では、本家のものと若干異なるコードが使われていて、英語版3.62にあったものと同じ脆弱性は存在しません。

ただし、英語版3.62とは別の脆弱性が、日本語版3.62のcreateaccount.phpに存在することが分かりました。攻撃を受ける可能性があるのは、以下のような状況でNucleusを運営している場合です。

1)「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定している。
2)createaccount.phpにはもともとPHP文法の誤りがあり、パースエラーを起こしていてコードが実行されない状態になっていたが、この文法上の誤りを修正して使っている。
3)PHPの設定で、registerglobals=ONとしている。

上記の3つすべてに当てはまる場合は、攻撃を受ける可能性がありますので、次のパッチを適用してください。


Attachments:
zip createaccount_patch362j.zip, Size: 1.57 KiB, Downloads: 358

オフライン

#2 2011-03-06 06:23:13

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性

少し補足します。日本語版をお使いで、上記記事の3つの条件のうち1つでも当てはまらないものがある場合は、今回修正された脆弱性について攻撃を受けることはありません。

1に当てはまらない場合は、createaccount.php及びcreateaccount.htmlは不要ですので、削除するのが良いでしょう。

2に当てはまらない場合は、上記パッチを当てて、正常の運営状態にすることをお勧めします。

3についてですが、Nucleusはregisterglobals=OFFで正常に動作するように設計されています。PHPの設定をregisterglobals=OFFとすることが、セキュリティー上、強く推奨されます。

英語版Nucleus CMS ver 3.62をお使いの方は、このトピックのパッチではなく、3.63もしくはそれ以降のバージョンを使ってください。英語版の場合、registerglobalsの値に関係なく、"Configuration"の"Member Settings"で、"Allow Visitors to Create a Member Account"を"yes"にしている人すべてが対象です。

オフライン

#3 2011-03-22 23:28:48

Mocchi
メンバー
登録日: 2006-11-19
投稿: 438

Re: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性

Mocchiです。

Katsumiさんにより、日本語版の開発ソースにコミットされました。リビジョン1149です。

http://sourceforge.jp/projects/nucleus- ... ision=1149

Katsumiさん、どうもありがとうございました。

オフライン

Board footer