PEAK XOOPS - SPAW 1.x vulnerability? in englishin japanese

Archive | RSS |
XOOPS
XOOPS : SPAW 1.x vulnerability?
Poster : GIJOE on 2007-01-25 06:25:56 (11517 reads)

in englishin japanese

http://blog.solmetra.com/2007/01/19/php-vulnerability-possibly-affecting-spaw-1x-installations/
う〜ん…
このレポートを素直に読むと、古いPHPで register_globals=on だと、unset() した変数も後から有効になってしまう、ってことでしょうか?

それって、明らかにPHP本体の脆弱性であって、そんな可能性まで考慮しなきゃならないようでは、PHPのアプリケーションなんて何も作れなくなってしまうと思うのですが。

とりあえず、気持ちが悪いので common/spaw では、$spaw_imglib_include なんてまったく使っていないので、include部分も含めてコメントアウトしました。今の最新版のTinyDアーカイブに含まれてます。条件に該当してしまう、または気になる人はアップデートしてください。

common/spaw/dialogs/img_library.php

だけの上書きで十分です。

PHP自体の脆弱性はともかく、運用側としては、register_globals はoffでなければ事実上ダメですし、allow_url_fopen もoffにしておくべきでしょう。

ついでに書くと、やっぱりSPAWはその作りそのものに問題があります。あまりにもソースコードの見通しが悪すぎますから。

WYSIWYGエディターなら common/fckeditor をお勧めします。

Printer friendly page Send this story to a friend

Comments list

GIJOE  Posted on 2007/2/8 18:22 | Last modified
I don't support TinyD with fckeditor.
My development of TinyD has finished.
Use pico instead.
beduino  Posted on 2007/2/8 11:22
Ok, tks!
but how we use fckeditor in tinyD?
all the best and congrats do excellent work!
beduino
Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!