Proxyとか

ネット界隈と時事ニュースなどの日常の何気ない話題が中心な信憑性もなければ公平性もない偏った素人のメモ。

 http://fula.jp/ へのリンクはフリーです [メール] [PGP] はこちらよりどうぞ。但し、営利目的の方はご遠慮下さい。    携帯    English    韓国語    中文

<< Apache HTTP Server 2.2.22 Released | TOP | 38.111.147.83 TurnitinBot/2.1 のアクセスが酷すぎる >>

[Webprog]  μ-s ver2.09 (myu-s ver2.09) の不具合に伴うコードの修正

2012/02/16(Thu) 20:49:36

当所もブログで使わせていただいているPHPスクリプト、myu-s ver2.09に不具合が見つかったようです。セキュリティーに関係するのでmyu-sを利用されている方はコードの修正が必要となります。

http://www.fleugel.com/doc/mnews.html

当ウェブサイトで過去に公開していた簡易ウェブログシステムμ-sにおいて、 脆弱性が存在する旨の報告がセキュリティ関係機関より報告がありました。

現在ご利用しているユーザーの方にはお手数をおかけしますが、 アップデート版を更新していただく必要があります。

include/system.php のファイルをメモ帳などで開き、700行目付近に、

function search($val){
global $output_html,$log_arr,$log_arr2,$logdir;

// ログをチェック。
check_log($logdir);
check_log2($logdir);
という箇所がありますので、その下の行に、

check_log($logdir);
check_log2($logdir);
$val = htmlspecialchars($val, ENT_QUOTES);

というように赤字の部分を追加します。

ユーザーが何らかのコードを送信する部分に関する変数のサニタイズは必ず必要になると思います。今回もこの部分に関しての修正ですが、ファイル書き込みとは無関係な部分なのは幸いだと思います。

サイト内関連記事
スクリプト myu-s がバージョンアップ

※上記の関連記事内のファイルも本日付けで差し替えてあります。

8年前の無償スクリプトのサポートの為に、わざわざ、FLEUGELzのmizuki様より直接連絡をいただき、本当に頭の下がる思いです。

余談ですが、FLEUGELz様のサイトはしばらくノーコンテンツな空白ページの期間が数年間続いていたように思いますが、今回のような場合を含め、ドメインの維持は大切ですね。webserverの稼働とドメインの生死は気にしていました。はい。

[admin ID:92RrOHSc] [Trackbacks:0] [English]
[記事固有URL:http://fula.jp/blog/index.php?no=r894]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=894]

Re:μ-s ver2.09 (myu-s ver2.09) の不具合に伴うコードの修正

2012/02/17(Fri) 19:16:07 これだけ年数を経ているのにすごいですね。私も頭を下げました。
ありがとうございました。 [yasuo ID:2WM.H1v2] [Permalink] [home]
[記事固有URL:http://fula.jp/blog/index.php?no=r894#r895]



コメントについての補足事項

  • コメントは誰でもご自由にどうぞ。但し、営利目的の投稿はご遠慮下さい。
  • コメント内のhttp:// から始まる文字は自動リンクします。
  • 自動リンクしたくない場合は先頭に * (アスタリスク)をつけて *http:// としてください。
  • 投稿パスはコメント投稿後に修正、削除などの管理作業を行う時に利用します。
  • 設定した投稿パスは トリップ としても作用します。
  • ご自身で任意のパスワードを設定のうえ投稿して下さい。
  • 誹謗中傷など投稿内容によっては管理人の権限で削除、修正させて頂く場合があります。
  • 日本語を一定数含まない場合や句読点(点や丸)が使われていないコメントは投稿できません。
  • 正規書き込みパスには、はんかくかたかなで のし と記入下さい。スパム対策です。

名前

投稿パス

正規書き込みパス

コメント

確認後 :

投稿後の記事の修正削除

記事番号 : 投稿パス:

上記より投稿時に設定した投稿パスを入力して下さい。修正、削除などの管理作業を行う事が出来ます。

<< Apache HTTP Server 2.2.22 Released | TOP | 38.111.147.83 TurnitinBot/2.1 のアクセスが酷すぎる >>

apache_powered.gif php5_powered.gif eaccelerator_powered.gif zend_optimizer_powered.gif xmail_powered.gif opera9_browser.gif

FLEUGELz