Joomler!.net - Decided on Joomla!

Jboard is Multiple Board!

 

Archives

Blog

Demo

Home » Blog » 脆弱性
1 votes
Written by:Joomler! 17121 hits Sunday, 09 February 2014 10:11

バージョンアップがあったが、この脆弱性への対応は含まれていないようだ。

徳丸さんのサイトで公開されていたので対策してみました。

とりあえず、下記のコード変更をすぐに適用するか、mod_tags_similarを無効にしてください。対象バージョンは、mod_tags_similarが有効なおそらく3.1以降のどれも該当すると思います。(mod_tags_similarがそのバージョンからのようなので)
※また、この変更はもちろん正式なものではないので次のバージョンアップの情報に注意しましょう。

変更するファイルは、ROOT/modules/mod_tags_similar/helper.phpです。

元のコード

		$id         = (array) $app->input->getObject('id');

		// Strip off any slug data.
		foreach ($id as $id)
		{
			if (substr_count($id, ':') > 0)
			{
				$idexplode = explode(':', $id);
				$id        = $idexplode[0];
			}
		}

		// For now assume com_tags and com_users do not have tags.
		// This module does not apply to list views in general at this point.
		if ($option != 'com_tags' && $view != 'category'  && $option != 'com_users')

変更後のコード

		$id         = (array) $app->input->getObject('id');

		// Strip off any slug data.
		foreach ($id as $id)
		{
			if (substr_count($id, ':') > 0)
			{
				$idexplode = explode(':', $id);
				$id        = $idexplode[0];
			}
		}

		$id = (int)$id;

		// For now assume com_tags and com_users do not have tags.
		// This module does not apply to list views in general at this point.
		if ($id > 0 && $option != 'com_tags' && $view != 'category'  && $option != 'com_users')

$idを明示的にintにしている部分と、$idが0以下なら何もしないようにしています。

また、合わせて徳丸さんが以下のように書かれていたが、どうか。

 
0 votes
Written by:Joomler! 7821 hits Friday, 15 January 2010 07:35

Vulnerable Extension List Rss Feed Launchedとして脆弱性のある(または、あった)エクステンションのリストが、本家Joomla.orgのdocs.joomla.orgで公開されました。(前から少しあったかな・・・)

January_2010_reported_vulnerable_extensions

Joomla!をお使いの方は、ほとんどの方が少なからずサードパーティーのエクステンションを利用されているでしょうから、日々RSSを読んでいる方もそうでない方も更新のチェックをするようにしましょう。

 
0 votes
Written by:Joomler! 5137 hits Friday, 08 January 2010 10:13

iLogScannerで解析してみました。徐々にアクセス数が増えているが、それは攻撃数だろうかと思ってみたり・・・。

ilogscanner_result_dec_2009

今回は、攻撃に成功した可能性の高い件数が7件でした。先月もあったのでもうびっくりしません。ログを見てみると案の定SQLインジェクションとはほど遠いものが6件と、インストールしてもいないコンポーネントへのインジェクション攻撃が1件でした。心配ない・・・。

 
1 votes
Written by:Joomler! 6297 hits Tuesday, 18 August 2009 09:09

joomler.net_use_these_extensions このサイトで使用しているエクステンションを画像で表してみました。(ex)と書いてある物は、元を改造しているものです。

もちろん記事を表示しているのは、JContentPlusです。

トップで表示しているのは、random_contentなのでPICKUPとタイトルには書かれていますが、実際には、指定されたカテゴリー内でランダムに記事を表示しています。

以前に、知らぬ間に古い記事を読まされていると言われた事がありますが、まさにその通り、うちの場合、Joomla!1.0の記事だったりするので注意が必要です。

さすがに、新規サイトを構築するにあたり、Joomla!1.0で構築する方は、減ったと思いますが、うちのサイトは、元々Joomla!1.0で構築されていたので以前の記事には、Joomla!1.0のことが多いです。1.5化するときに分けたら良かったですね。

 

 
4 votes
Written by:Joomler! 5794 hits Monday, 27 July 2009 07:45

システムとしては、Joomla!もそのひとつ、エクステンションはたくさんありすぎてどれが欲しい機能を満たすものかは、試していかないと実際わかりません。また、GPLや、たとえそうでないライセンスのものがあっても、それがおのおのの環境での完動品かどうかは、また別の問題です。(それは、うちのエクステンションにも言えること)

インストールは、簡単にできてもそれが、果たしてセキュリティ面でも大丈夫なのか?

それは、どんなシステム、エクステンションに限らず同じようについてまわる問題だと思います。システムが多機能になれば、なるほど発生する問題ですよね。

でも、そのすべてを検証することは、非常に難しいことです。

 
<<<1234>>>
1 / 4

JContentPlus for Joomla!1.5 powered by Joomler!.net

joomler.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla!(R) name is used under a limited license from Open Source Matters in the United States and other countries.
joomler.net is not affiliated with or endorsed by Open Source Matters or the Joomla! Project.