この操作にはログインが必要です
モジュールの脆弱性
投稿者: Marijuana | 投稿日時: 2005-11-6 3:37 | 閲覧: 50850回
内容が内容ですので、MLに残らないようにさせて頂きました。
問題があるようでしたら、削除してください。
以下のモジュールに脆弱性がありますので、使用する方は十分気をつけて使用して下さい。
また、基本的に脆弱性の動作を確認してはいますが、全ての環境で起こるとは保証出来ません。
SQL Injection可能なモジュール
eguide 1.6.8
bookmark 1.00
alumni 2.0
jobs 1.9
myAds 2.04
popnupblog 2.21
XoopsHP 1.05
※テーブルのprefixを変更することで、防ぐことが出来ます(完全ではありません)
※他にもSQL Injection出来るモジュールがありますが、俺が攻撃方法解りませんので載せません。
XSSが仕掛けられるモジュール
amaxoop2 0.991
iDiary 1.08
※管理者でアクセスするときはJavaScriptをOffにすることで防ぐことが出来ます(完全ではありません)
ローカルファイル削除(cgi版では致命的)
xnshop 0.86
※cgi版では使わないこと以外、対処方法がありません。
一つでも脆弱性のあったモジュールは、他の脆弱性を調べてません。
また、全てのモジュールを調べた訳では無いので、ここに無いから安全ではありません。
作者に連絡をすべきなのでしょうが、あまりに多く(確率)のモジュールで脆弱性があり、
個別に連絡なんて面倒なので、ここでまとめて報告です。
こんな程度の脆弱性で0dayもないと思いますし・・・
プログラムが本職でない俺に解るぐらいの脆弱性ですので、
モジュール作者の方は、セキュリティ対策など全く気にも留めてないのでしょうか?
XOOPSのコアがどんなにセキュアになろうとも、モジュールがこんなんでは、無意味ですね。
もう、いっそうのこと、ダウンロード無くしません?
時間があれば、もっと調べますが全てを一人で調べるのは時間が掛かりますので、
皆さんも気付いたのがあれば、このスレッドに繋げませんか?
これはXOOPSに限ったことではありませんが使用するユーザの方も、ある程度知識がないと大変なことになる可能性があることを理解してください。
PHPの脆弱性が話題に上ってましたが、それ以前にモジュールがこんな状態ですよ?
問題があるようでしたら、削除してください。
以下のモジュールに脆弱性がありますので、使用する方は十分気をつけて使用して下さい。
また、基本的に脆弱性の動作を確認してはいますが、全ての環境で起こるとは保証出来ません。
SQL Injection可能なモジュール
eguide 1.6.8
bookmark 1.00
alumni 2.0
jobs 1.9
myAds 2.04
popnupblog 2.21
XoopsHP 1.05
※テーブルのprefixを変更することで、防ぐことが出来ます(完全ではありません)
※他にもSQL Injection出来るモジュールがありますが、俺が攻撃方法解りませんので載せません。
XSSが仕掛けられるモジュール
amaxoop2 0.991
iDiary 1.08
※管理者でアクセスするときはJavaScriptをOffにすることで防ぐことが出来ます(完全ではありません)
ローカルファイル削除(cgi版では致命的)
xnshop 0.86
※cgi版では使わないこと以外、対処方法がありません。
一つでも脆弱性のあったモジュールは、他の脆弱性を調べてません。
また、全てのモジュールを調べた訳では無いので、ここに無いから安全ではありません。
作者に連絡をすべきなのでしょうが、あまりに多く(確率)のモジュールで脆弱性があり、
個別に連絡なんて面倒なので、ここでまとめて報告です。
こんな程度の脆弱性で0dayもないと思いますし・・・
プログラムが本職でない俺に解るぐらいの脆弱性ですので、
モジュール作者の方は、セキュリティ対策など全く気にも留めてないのでしょうか?
XOOPSのコアがどんなにセキュアになろうとも、モジュールがこんなんでは、無意味ですね。
もう、いっそうのこと、ダウンロード無くしません?
時間があれば、もっと調べますが全てを一人で調べるのは時間が掛かりますので、
皆さんも気付いたのがあれば、このスレッドに繋げませんか?
これはXOOPSに限ったことではありませんが使用するユーザの方も、ある程度知識がないと大変なことになる可能性があることを理解してください。
PHPの脆弱性が話題に上ってましたが、それ以前にモジュールがこんな状態ですよ?
コメント(49)
新しいものから |
古いものから |
ネスト表示 |
Re: モジュールの脆弱性
投稿者: Marijuana | 投稿日時: 2005-11-12 9:42
素早い対応は評価出来ますが、SQL Injectinが出来る事に変わりないですよね。
where句の問題があるにせよ、好きなテーブル名にdelete文他発行できますよね
万が一、同じフィールド名使ってるテーブルがあれば削除し放題は変わり無いですよ
変数に入れてるから問題なので、テーブル名を定数にするだけでだいぶ違うと思います。
修正も一括置換するだけですし・・・
せめてテーブル名を代入しているところを、foreachの下に持ってくるとか
また、このスレッドで書いてませんがXSSが野放しになってます。
bankrollさんも書かれてますが、一旦取り下げる事も検討されてはいかがでしょうか?
後継バージョンを作られてるようですし、古いバージョンに手間暇掛けるよりは・・・
(もちろん注意喚起は必要です。それでも使うのであればユーザの責任ですから)
Ysuzukiさんの書込みをみて、なんて極端なって思いましたが、ある意味賢い選択をしたんだなぁと思い直しました。
せっかく作ったサイトが消えちゃったら哀しいですもんね。
where句の問題があるにせよ、好きなテーブル名にdelete文他発行できますよね
万が一、同じフィールド名使ってるテーブルがあれば削除し放題は変わり無いですよ
変数に入れてるから問題なので、テーブル名を定数にするだけでだいぶ違うと思います。
修正も一括置換するだけですし・・・
せめてテーブル名を代入しているところを、foreachの下に持ってくるとか
また、このスレッドで書いてませんがXSSが野放しになってます。
bankrollさんも書かれてますが、一旦取り下げる事も検討されてはいかがでしょうか?
後継バージョンを作られてるようですし、古いバージョンに手間暇掛けるよりは・・・
(もちろん注意喚起は必要です。それでも使うのであればユーザの責任ですから)
Ysuzukiさんの書込みをみて、なんて極端なって思いましたが、ある意味賢い選択をしたんだなぁと思い直しました。
せっかく作ったサイトが消えちゃったら哀しいですもんね。
Re: モジュールの脆弱性
Re: モジュールの脆弱性
投稿者: Ysuzuki | 投稿日時: 2005-11-12 18:56
Marijuanaさんに”賢明な”と言われると恥ずかしいのですが、プログラム勉強中の私にはこのフォーラムの情報が頼りなのです。まだ本格運用の前なので、もうすこし情報を見極めてから再開しようと思います。
egaideとxoopsの関係は、わたしにとってかつてのexcelとMachintoshの関係のようなもので、xoopsを使ってみようと思ったのもegideをはじめとするpiCal等の魅力的なモジュールがあったからです。
本来ならば自分でも有用な意見をここに書けるようになりたいのですが、残念ながらまだまだまだ・・・。(確かに5分でインストールはできたのですが、その域まで行けるのはいつだろう?)その代わり知人のプロから情報を仕入れたら転記しようと思います。
私のような初心者(アセンブラとかハードに近いものはやってたんですが)が急増して最近このフォーラムにご負担をかけているようですが、やはりこちらのサイトに掲載されたモジュールは信頼してしまいます。
他のスレでモジュールの当サイトとオリジナルサイトのバージョンの違いというのが話題になっておりましたが、私も少し前まではこのサイトに掲載されたら安心と思いこんでいました。
できるだけ勉強して追いつけるように頑張りますので今後とも宜しくお願い致します。長くなって失礼致しました。
nobuさん、頑張って下さい!
egaideとxoopsの関係は、わたしにとってかつてのexcelとMachintoshの関係のようなもので、xoopsを使ってみようと思ったのもegideをはじめとするpiCal等の魅力的なモジュールがあったからです。
本来ならば自分でも有用な意見をここに書けるようになりたいのですが、残念ながらまだまだまだ・・・。(確かに5分でインストールはできたのですが、その域まで行けるのはいつだろう?)その代わり知人のプロから情報を仕入れたら転記しようと思います。
私のような初心者(アセンブラとかハードに近いものはやってたんですが)が急増して最近このフォーラムにご負担をかけているようですが、やはりこちらのサイトに掲載されたモジュールは信頼してしまいます。
他のスレでモジュールの当サイトとオリジナルサイトのバージョンの違いというのが話題になっておりましたが、私も少し前まではこのサイトに掲載されたら安心と思いこんでいました。
できるだけ勉強して追いつけるように頑張りますので今後とも宜しくお願い致します。長くなって失礼致しました。
nobuさん、頑張って下さい!
Re: モジュールの脆弱性
投稿者: dendeke | 投稿日時: 2005-11-14 14:01
みなさん、こんにちわ。
ちょっと話題がズレる(?)かもしれませんが、GIJOEさんが「PHPアプリケーションのセキュリティ本」をお出しになられるようです。
一連のモジュールの脆弱性問題で、自分なりにどのような貢献ができるかとずっと考えていました。
たとえば、ユーザプロジェクトとして、モジュールの検証チームなんてのを作ったらどうだろうか・・・ とか。それには自分でもモジュールの脆弱性の検証がキチンとできないといけないわけですが、まだまだ自分の技量ではそこまでキチンとできそうもなく、書き込みを控えていました。
もう少し勉強+GIJOEさんの出版される書籍を参考に、ある程度メドがついたら、そういう積極的な提案もさせていただければと思っています。
ちょっと話題がズレる(?)かもしれませんが、GIJOEさんが「PHPアプリケーションのセキュリティ本」をお出しになられるようです。
一連のモジュールの脆弱性問題で、自分なりにどのような貢献ができるかとずっと考えていました。
たとえば、ユーザプロジェクトとして、モジュールの検証チームなんてのを作ったらどうだろうか・・・ とか。それには自分でもモジュールの脆弱性の検証がキチンとできないといけないわけですが、まだまだ自分の技量ではそこまでキチンとできそうもなく、書き込みを控えていました。
もう少し勉強+GIJOEさんの出版される書籍を参考に、ある程度メドがついたら、そういう積極的な提案もさせていただければと思っています。
Re: モジュールの脆弱性
Re: モジュールの脆弱性
Re: モジュールの脆弱性
Re: モジュールの脆弱性
Re: モジュールの脆弱性
投稿者: domifara | 投稿日時: 2005-11-16 14:37
引用:
攻撃用のPHPスクリプト、検索したら一発ででてきました。
第一段階 modules/profile/activate.phpで・・のとこも問題なのでこのスクリプトに限っては、xoops jp には直接は・・
んー、wf-sectionのSQL文の穴まんまあるし(今塞いだ)、
xoops protector入っていると、unionクエリー動作しないはず、
でも、まだ、あるかもしれない、wf-sectionは今は、手におえないな、すいません、私のところのダウンロードしばらく(いつまで?さあ?)使えません。
Marijuanaさんは書きました:
SECUNIAでWF-DownloadsのSQL Injectionのアドバイザリ出てますけど、
話題にならないって事は、皆さん使ってないor気にしないのどちらかなんでしょうか
しかも某所にて攻撃用のPHPスクリプトも公開されてます。
もし使っている人が居るなら、気を付けてください。
#本家がやられたのも、この穴じゃないかとの話も・・・
攻撃用のPHPスクリプト、検索したら一発ででてきました。
第一段階 modules/profile/activate.phpで・・のとこも問題なのでこのスクリプトに限っては、xoops jp には直接は・・
んー、wf-sectionのSQL文の穴まんまあるし(今塞いだ)、
xoops protector入っていると、unionクエリー動作しないはず、
でも、まだ、あるかもしれない、wf-sectionは今は、手におえないな、すいません、私のところのダウンロードしばらく(いつまで?さあ?)使えません。
Re: モジュールの脆弱性
投稿者: domifara | 投稿日時: 2005-11-16 15:54
http://www.wf-projects.com/
のページの「There is a security flaw in WF-Downloads 2.05b and below that could allow SQL injections.」のニュースに載っている対応ソースでは、
私がさっき見てみたら
まだ同じソース内の別のところに、
SQインジェクションが可能な穴が残ったままになっています。
現時点では全部なんて見直せないので、WF-Downloadsは他にも穴があると思わないとだめです。
追伸:
開発もとの、お問い合わせで、一応伝えたです。
私の拙い英語で、伝わったかな?
のページの「There is a security flaw in WF-Downloads 2.05b and below that could allow SQL injections.」のニュースに載っている対応ソースでは、
私がさっき見てみたら
まだ同じソース内の別のところに、
SQインジェクションが可能な穴が残ったままになっています。
現時点では全部なんて見直せないので、WF-Downloadsは他にも穴があると思わないとだめです。
追伸:
開発もとの、お問い合わせで、一応伝えたです。
私の拙い英語で、伝わったかな?
Re: モジュールの脆弱性
投稿者: domifara | 投稿日時: 2005-11-16 21:47
お知らせ
GIJOEサイトのニュースでも出たのですが
http://secunia.com/advisories/17573/
で、
register_globals Off なら良いらしいです
WYSIWYGエディタのひとつについてしか書いてないですが
ですが お願いです
class/の下において使う
WYSIWYGエディタについては
無責任で申し訳ないけど
私のサイトでダウンロードした人
news1.4x , soapbox1.5x なんかも、
まるで使えるようにソースをコーディングしたままにしてますが、
やっぱり駄目ってなる前に、WYSIWYGエディタは使わないでください。
GIJOEサイトのニュースでも出たのですが
http://secunia.com/advisories/17573/
で、
register_globals Off なら良いらしいです
WYSIWYGエディタのひとつについてしか書いてないですが
ですが お願いです
class/の下において使う
WYSIWYGエディタについては
無責任で申し訳ないけど
私のサイトでダウンロードした人
news1.4x , soapbox1.5x なんかも、
まるで使えるようにソースをコーディングしたままにしてますが、
やっぱり駄目ってなる前に、WYSIWYGエディタは使わないでください。
PHPサイバーテロの技法(Re: モジュールの脆弱性)
Re: PHPサイバーテロの技法(Re: モジュールの脆弱性)
Re: PHPサイバーテロの技法(Re: モジュールの脆弱性)
Re: PHPサイバーテロの技法(Re: モジュールの脆弱性)
Re: モジュールの脆弱性
Re: モジュールの脆弱性
投稿者: takuto | 投稿日時: 2005-11-26 22:03
ご指摘ありがとうございます。
面白そうなものが出来たからということで気軽に登録してしまいました。もう一度きちんとチェックを行いたいと思います。それまでの間は公開停止にしておきます。
セキュリティに対する関心はあり少しは勉強していますので、こんな小さなことで、と言う気はありません。感謝しております。しかし、いくら初歩的な問題であっても、個人が趣味で作成している以上、ある程度のチェック漏れや、妥協による見落としがあるのは当然といえば当然なのではないでしょうか?(そんなことだからこんな初歩的なミスが、とおっしゃられるかもしれませんが)
私の場合は、出来上がったらとりあえず公開してしまい、ユーザーさんに指摘してもらい修正する、という方法をとっています。この方法が効率的であるし、勉強にもなるし、良いものが出来ると考えているからです。
このような方法は間違っていますか?
セキュリティ対策が万全でないと公開すべきではありませんか?
面白そうなものが出来たからということで気軽に登録してしまいました。もう一度きちんとチェックを行いたいと思います。それまでの間は公開停止にしておきます。
セキュリティに対する関心はあり少しは勉強していますので、こんな小さなことで、と言う気はありません。感謝しております。しかし、いくら初歩的な問題であっても、個人が趣味で作成している以上、ある程度のチェック漏れや、妥協による見落としがあるのは当然といえば当然なのではないでしょうか?(そんなことだからこんな初歩的なミスが、とおっしゃられるかもしれませんが)
私の場合は、出来上がったらとりあえず公開してしまい、ユーザーさんに指摘してもらい修正する、という方法をとっています。この方法が効率的であるし、勉強にもなるし、良いものが出来ると考えているからです。
このような方法は間違っていますか?
セキュリティ対策が万全でないと公開すべきではありませんか?
Re: モジュールの脆弱性
投稿者: fugafugaR2 | 投稿日時: 2005-11-26 23:13
引用:
その点に関しては私も全く同感ですし、間違ってはいないと思います。実際私もそうやっています。
XOOPSのモジュールの場合、開発者が1人でせっせと作ってユーザーがありがたく頂戴するというパターンが殆どのようですが、そんなんつまらんです。
ただ、この公式サイトのダウンロードに登録されたものは完成品と認識されて、中身の検証なんかされずに公開サイトで使ってしまわれる可能性が高い訳ですから、”とりあえず”での公開であればその旨はっきり書いた方がよかったのではないでしょうか。
takutoさんも汎用データベースモジュールの場合は開発中と銘打ってフォーラムの方で公開されてる訳ですし。
それに指摘された点、そんなに”小さなこと”でないですよ。公開サイトに導入してる人は即刻削除した方がいいです。
takutoさんは書きました:
私の場合は、出来上がったらとりあえず公開してしまい、ユーザーさんに指摘してもらい修正する、という方法をとっています。この方法が効率的であるし、勉強にもなるし、良いものが出来ると考えているからです。
このような方法は間違っていますか?
その点に関しては私も全く同感ですし、間違ってはいないと思います。実際私もそうやっています。
XOOPSのモジュールの場合、開発者が1人でせっせと作ってユーザーがありがたく頂戴するというパターンが殆どのようですが、そんなんつまらんです。
ただ、この公式サイトのダウンロードに登録されたものは完成品と認識されて、中身の検証なんかされずに公開サイトで使ってしまわれる可能性が高い訳ですから、”とりあえず”での公開であればその旨はっきり書いた方がよかったのではないでしょうか。
takutoさんも汎用データベースモジュールの場合は開発中と銘打ってフォーラムの方で公開されてる訳ですし。
それに指摘された点、そんなに”小さなこと”でないですよ。公開サイトに導入してる人は即刻削除した方がいいです。
Re: モジュールの脆弱性
Re: モジュールの脆弱性