10/16 亀石峠にて |
コンテンツ管理システム XOOPS にクロスサイトスクリプティング等のセキュリティホール(脆弱性)が報告されている。悪意を持った第三者がこの問題を突いてスクリプトを埋め込む事で、Cookieをから情報を盗まれたり、セッションハイジャック・なりすましといった悪用を受ける事がある。
このXOOPSはPHPとMySQLをプラットフォームとしたサーバソフトウェアなので、一般ユーザーが心配する必要はない。逆に心当りのあるWeb管理者は速やかに最新版へアップデートしよう。
ちなみにXOOPSはrNoteと一緒に検討したソフトのひとつで、JP版と国際版に別れている事で速やかな改修作業などが心配だったのだが、心配するほどの事は無かったようだ。
選定のポイントとしては、XOOPSがフォーラムや会議室などを主としたコミュニティサイトの構築に向いてる反面、記事をアップロードして構築するサイトにはちょっと向いてない印象があり、rNoteの導入に至った経緯がある。
【参照】
●日経ITPro http://itpro.nikkeibp.co.jp/
┣コンテンツ管理システム「XOOPS」にセキュリティ・ホール,SQLインジェクションなどを許す 2005年6月30日
┗コンテンツ管理システム「XOOPS」にクロスサイト・スクリプティングなどの脆弱性 2005年10月25日
●XOOPS Cube http://jp.xoops.org/
┗XOOPS 2.0.13a JPリリース 2005年10月25日
●情報処理推進機構(IPA) http://www.ipa.go.jp/
┗JVN#77105349:「XOOPS」におけるクロスサイト・スクリプティングの脆弱性 2005年10月24日
●情報処理推進機構(IPA) http://www.ipa.go.jp/
┗SNS Advisory No.85 XOOPS Multiple Cross-site Scripting Vulnerabilities 2005年10月25日