2005/10/25 on Yano's digital garage https://www.bravotouring.com/~yano/archives/2005/10/25/ Recent content in 2005/10/25 on Yano's digital garage Hugo en-us Tue, 25 Oct 2005 22:34:17 +0900 XOOPSにXSS脆弱性 https://www.bravotouring.com/~yano/diary/it/20051025xoops.htm Tue, 25 Oct 2005 22:34:17 +0900 https://www.bravotouring.com/~yano/diary/it/20051025xoops.htm <table align="right" class="Landscape"> <tr> <td><img alt="阿蘇を望む" src="https://www.bravotouring.com/~yano/images/2005/051025.jpg"/></td> </tr> <tr> <td class="PhotoMemo">10/16 <span class="Point">亀石峠</span>にて</td> </tr> </table> <p>コンテンツ管理システム <span class="Tradename">XOOPS</span> に<span class="Worning">クロスサイトスクリプティング</span>等のセキュリティホール(脆弱性)が報告されている。悪意を持った第三者がこの問題を突いてスクリプトを埋め込む事で、Cookieをから情報を盗まれたり、セッションハイジャック・なりすましといった悪用を受ける事がある。</p> <p>この<span class="Tradename">XOOPS</span>は<span class="Software">PHP</span>と<span class="Software">MySQL</span>をプラットフォームとしたサーバソフトウェアなので、一般ユーザーが心配する必要はない。逆に心当りのあるWeb管理者は速やかに最新版へアップデートしよう。</p> <p>ちなみに<span class="Tradename">XOOPS</span>は<a href="http://rinn.e-site.jp/rnote/" target="SubWindow"><span class="Tradename">rNote</span></a>と一緒に検討したソフトのひとつで、JP版と国際版に別れている事で速やかな改修作業などが心配だったのだが、心配するほどの事は無かったようだ。</p> <p>選定のポイントとしては、<span class="Tradename">XOOPS</span>がフォーラムや会議室などを主としたコミュニティサイトの構築に向いてる反面、記事をアップロードして構築するサイトにはちょっと向いてない印象があり、<a href="http://rinn.e-site.jp/rnote/" target="SubWindow"><span class="Tradename">rNote</span></a>の導入に至った経緯がある。</p> <p class="Reference">【参照】 <br/>●日経ITPro <a href="http://itpro.nikkeibp.co.jp/" target="SubWindow">http://itpro.nikkeibp.co.jp/</a> <br/>┣<a href="http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050630/163722/" target="SubWindow">コンテンツ管理システム「XOOPS」にセキュリティ・ホール,SQLインジェクションなどを許す</a> 2005年6月30日 <br/>┗<a href="http://itpro.nikkeibp.co.jp/article/NEWS/20051025/223348/" target="SubWindow">コンテンツ管理システム「XOOPS」にクロスサイト・スクリプティングなどの脆弱性</a> 2005年10月25日 <br/>●XOOPS Cube <a href="http://jp.xoops.org/" target="SubWindow">http://jp.xoops.org/</a> <br/>┗<a href="http://xoopscube.jp/modules/cubeNews/index.php?action=detail&id=15" target="SubWindow">XOOPS 2.0.13a JPリリース</a> 2005年10月25日 <br/>●情報処理推進機構(IPA) <a href="http://www.ipa.go.jp/" target="SubWindow">http://www.ipa.go.jp/</a> <br/>┗<a href="http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77105349_XOOPS.html" target="SubWindow">JVN#77105349:「XOOPS」におけるクロスサイト・スクリプティングの脆弱性</a> 2005年10月24日 <br/>●情報処理推進機構(IPA) <a href="http://www.ipa.go.jp/" target="SubWindow">http://www.ipa.go.jp/</a> <br/>┗<a href="http://www.lac.co.jp/business/sns/intelligence/SNSadvisory/85.html" target="SubWindow">SNS Advisory No.85 XOOPS Multiple Cross-site Scripting Vulnerabilities</a> 2005年10月25日 </p>