Proxyとか

ネット界隈と時事ニュースなどの日常の何気ない話題が中心な信憑性もなければ公平性もない偏った素人のメモ。

 http://fula.jp/ へのリンクはフリーです [メール] [PGP] はこちらよりどうぞ。但し、営利目的の方はご遠慮下さい。    携帯    English    韓国語    中文

| TOP |

[Webprog]  μ-s ver2.09 (myu-s ver2.09) の不具合に伴うコードの修正

2012/02/16(Thu) 20:49:36

当所もブログで使わせていただいているPHPスクリプト、myu-s ver2.09に不具合が見つかったようです。セキュリティーに関係するのでmyu-sを利用されている方はコードの修正が必要となります。

http://www.fleugel.com/doc/mnews.html

当ウェブサイトで過去に公開していた簡易ウェブログシステムμ-sにおいて、 脆弱性が存在する旨の報告がセキュリティ関係機関より報告がありました。

現在ご利用しているユーザーの方にはお手数をおかけしますが、 アップデート版を更新していただく必要があります。

include/system.php のファイルをメモ帳などで開き、700行目付近に、

function search($val){
global $output_html,$log_arr,$log_arr2,$logdir;

// ログをチェック。
check_log($logdir);
check_log2($logdir);
という箇所がありますので、その下の行に、

check_log($logdir);
check_log2($logdir);
$val = htmlspecialchars($val, ENT_QUOTES);

というように赤字の部分を追加します。

ユーザーが何らかのコードを送信する部分に関する変数のサニタイズは必ず必要になると思います。今回もこの部分に関しての修正ですが、ファイル書き込みとは無関係な部分なのは幸いだと思います。

サイト内関連記事
スクリプト myu-s がバージョンアップ

※上記の関連記事内のファイルも本日付けで差し替えてあります。

8年前の無償スクリプトのサポートの為に、わざわざ、FLEUGELzのmizuki様より直接連絡をいただき、本当に頭の下がる思いです。

余談ですが、FLEUGELz様のサイトはしばらくノーコンテンツな空白ページの期間が数年間続いていたように思いますが、今回のような場合を含め、ドメインの維持は大切ですね。webserverの稼働とドメインの生死は気にしていました。はい。

[Permalink] [Comments:1] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r894]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=894]

| TOP |

apache_powered.gif php5_powered.gif eaccelerator_powered.gif zend_optimizer_powered.gif xmail_powered.gif opera9_browser.gif

FLEUGELz