ホーム > ニュース > 開発・運用 > コア > XOOPS Cube Legacy 2.1.6 以前に XSS 脆弱性が見つかりました

XOOPS Cube Legacy 2.1.6 以前に XSS 脆弱性が見つかりました

11
minahito
投稿者: minahito | 投稿日時: 2009/4/2 12:08 | 公開日時: 2009/4/2 14:53 | 閲覧: 27180回
タグ: ,
http%3A%2F%2Fxoopscube.sourceforge.net%2Fja%2Findex_files%2Fc041252789bdf6acdce966295b015ee3-28.html

 XOOPS Cube Legacy 2.1.6 以前のバージョンに、XSS(クロスサイトスクリプティング)脆弱性が発見されました。この脆弱性は、本日リリースしましたパッチを適用するか、カスタムテンプレートを編集することで修正することができます。

 プロジェクトにおける深刻度分類は "2:重要" です。できるだけ早いパッチ適用をお願いいたします。

 なお、ホダ塾ディストリビューションおよび XOOPS Protector 導入環境では anti-XSS 機能で問題点をガードすることが可能です。

影響を受けるシステム
* XOOPS Cube Legacy 2.1.6 およびそれ以前

想定される影響
 攻撃コードを含む悪意ある URL へユーザーを誘導することによって、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

パッチの適用: XOOPS Cube Legacy 2.1.6
 2.1.6a 差分パッケージをダウンロードして展開し、html ディレクトリ内のファイル群が、サーバーの公開ディレクトリの下にアップロードされるように位置をあわせ、上書きアップロードしてください。差分パッケージは、フルパッケージと同じファイルツリーになっていますので、典型的なサーバー設定では html ディレクトリの中身を public_html へ上書きコピーすることでパッチが適用されます。

 正しくパッチを適用すると、バージョン番号は 2.1.6a になります。

パッチの適用: XOOPS Cube Legacy 2.1.5 以前
 過去のバージョンに適用するための別パッケージを用意しました。このパッケージをダウンロードして展開し、html ディレクトリ内のファイル群が、サーバーの公開ディレクトリの下にアップロードされるように位置をあわせ、上書きアップロードしてください。

 なお、2.1.6 までにいくつかのセキュリティホールを修正していますので、可能であれば今回の修正にあわせて最新版の 2.1.6a へアップグレードをお願いします。

公開ディレクトリの位置について
 公開ディレクトリの位置はサーバーの設定によって決まるため、プロジェクト側も「これに従えば間違いない」というパッチの適用ガイドを出すことができません。

 フルパッケージのインストール経験がなく、サーバー側に public_html ディレクトリや html ディレクトリが見当たらず、パッチ適用の位置合わせの勘所が分からない方は、レンタルサーバー名などを書いて各掲示板でアドバイスを求めてみてください。コミュニティのみなさまには、一人でも多くのユーザーさんが出来るだけ速やかにパッチを適用できるようご協力をお願いいたします。

別の回避策(ワークアラウンド)
 何らかの事情で、しばらくの間、パッチをサーバーに送信することができない!という方は、カスタムテンプレートを直接エディットすることで問題を修正できます。互換レンダーシステムもしくは altsys のテンプレート編集機能を使用して legacy_image_list.html の編集画面を開いて、上から4行目付近


var targetDom = window.opener.xoopsGetElementById('<{$target}>');

 を、

var targetDom = window.opener.xoopsGetElementById('<{$target|escape}>');

 に変更してください。同様に、 legacy_misc_smilies.html の3行目付近

var currentMessage = window.opener.xoopsGetElementById("<{$targetName}>").value;

 を、

var currentMessage = window.opener.xoopsGetElementById("<{$targetName|escape}>").value;

 に変更します。もしカスタムテンプレートセットを作成していない場合は、上記2つのテンプレートを修正することができません。その場合はXUGJのテンプレートマニュアルを参考に、カスタムテンプレートを作成してワークアラウンドを行ってください。

謝辞
 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。

 報告者: 三井物産セキュアディレクション株式会社 寺田 健 様

ご報告ありがとうございました、心より感謝いたします。

コメント(0)

新しいものから | 古いものから | ネスト表示 | RSS feed

トラックバック(0)

新しいものから | 古いものから | RSS feed

投票(11)

新しいものから | 古いものから | RSS feed
 
    To Top