CMS 
である
XOOPS は、i2labと無限21コミュニティでも使用しているのですが、少し前に脆弱性のアナウンス(June 30)がありました。
XOOPS サイトをお持ちで、ご存知の無い方のために一応記述を残しておきます。
XOOPSの
公式サイト にて、2.0.10.1 JP以前のバージョン又は、は2.0.11 JP RC1 のXOOPSにおいて
クロスサイトスクリプティング や
SQLインジェクション につながる脆弱性があるとされ、第三者に任意のスクリプト、SQLクエリを実行される危険性が指摘されました。
記載のバージョンをご利用のお客様に関しては、お客様の責任下においてバージョンアップを実施のお願い申し上げます。
アップグレードモジュール はここから。
もっと読む»
というわけで、運用中のシステムにそのまま入れ替えて問題がないか、バージョンごとのアップグレード手順があるか否かを調べていましたが、どうやら問題なさそうなので実施してみました。
注意点は、FTPでアップするときに画像以外はバイナリモードでは送らないことですね。
バイナリで転送してしまうと、なぜか画面が出なくなったりします。(実はやっていた。笑)
お手持ちのFTPクライアントの設定に、拡張子毎の転送モードの選択があれば、phpはアスキーと明確に指定してあると、自動認識の設定でも問題ないかもしれません。
PHPのスクリプトをプロバイダに転送するときは、XOOPSに限らずFTPの設定のチェックを見直しておいた方が安全です。
先の問題が起きた場合には、該当する
PHP のファイルを一旦サーバーから消さないと、上書きではなぜか解消できないことの方が多いですね。まあ、悩むよりも一旦削除後に再度アップするのがいいでしょう。
今回の
XOOPS のパッチモジュールは、画像などはないので全てアスキーモードでの転送で大丈夫ですね。
というわけで、
XOOPS の脆弱性対応は終了しました。(少々慎重すぎましたが。)
普段からアクセス解析をかけておき、バッファオーバーランなどのアタックなど試しているIPアドレスは、アクセス禁止にしておくなどを怠らないことが肝心ですね。
あとは・・
定期的に、ご自分のディレクトリ構成を記録をとっておくことも肝心かもしれません。というのも、サーバーソフトやスクリプト、SQLなどの脆弱性をついて、ファイルを送り込み、それを解凍すると、見つけにくいディレクトリ(ドットで始まるなど)に、サイトの入り口などを勝手に作成される被害も多いようです。
とくに問題なのは、
フィッシング のサイトに利用される被害が国内でもすでにあるようですね。これ、利用された側にも損害賠償が起きる可能性があるようですから。
スポンサードリンク