PEAK XOOPS - 本家版XOOPS 2.3.2の構造的欠陥 in englishin japanese

Archive | RSS |
XOOPS
XOOPS : 本家版XOOPS 2.3.2の構造的欠陥
Poster : GIJOE on 2009-01-09 13:09:35 (14991 reads)

in englishin japanese
世界的にXOOPSの本家とは xoops.org ってことになり、本流は2.3系列って事になっているようです。

そこの最新版である xoops-2.3.2b というアーカイブをダウンロードしてみてあきれました。

htdocs/ の中に、xoops_lib というフォルダがあって、その中に、XOOPS_TRUST_PATHに置かれるべきファイルが詰まっているのですから。
しかも.htaccessすらなし。

思わず目が点になりました。

mamba氏が、XOOPS_TRUST_PATH内のファイルにLFIがある、という不思議なレポートをしてきて、その意味が理解できなかったのですが、アーカイブ構造を見て納得しました。
つまり、彼らはXOOPS_TRUST_PATHの意味を一つも理解していないのです。
XOOPS_TRUST_PATHを、xoops_lib なんて名前に勝手に変更しているのも、彼らがXOOPS_TRUST_PATHの意味を理解していないことの証拠の一つでしょう。

mamba氏は「Protectorにセキュリティホール(LFI)があるから独自にfixをした」、とか言ってましたが、DocumentRootの外にあるのが前提となっているファイル群に場当たり的なパッチを当ててもまったくの無意味です。

案の定、今度はRFIとしてレポートが上がったそうです。
http://www.milw0rm.com/exploits/7705

これはProtectorの穴ではなく、XOOPS-2.3.2の穴であると正確に理解してください。

とにかく、phppp はじめ xoops.org の開発者に言いたいことは以下の3つです。
XOOPS_TRUST_PATHをアーカイブのhtdocs/の外に出してください。
DocumentRootの外と内の違いについて勉強してください。
Protector V3のインストール方法を繰り返し読んでください。

それが出来ないのなら、同梱なんてしないでください。

誤ったインストール方法をデフォルトで用意しておいて、Protectorにセキュリティホールがあるなんて言ってくるxoops.orgの神経が信じられませんし、それが原因で第三者にProtectorの存在意義を問われてしまうのもこれまた心外です。


Related articles
Printer friendly page Send this story to a friend

Comments list

leco1  Posted on 2009/1/13 21:21
GIJOE

Thank you for your insightful arguments.

I user XOOPS for a long time and think he has improved a lot in version 2.3.x.

Obviously, if their arguments were posted in xoops.org, this would contribute immensely to the correct use of this program by users beginners.

Thanks
GIJOE  Posted on 2009/1/13 13:39 | Last modified
Quote:

leco1 wrotes:
See this article:

A Guide to Make your XOOPS Installation even more secure

http://www.xoops.org/modules/news/article.php?storyid=4601
My answer is the same as [1.2]


NG
structural insecure archive working monor and bad environments also
with instructions how to use the application securely

OK
structural secure archive working major and good environments only
with instructions how to use the application with monor and bad environments
GIJOE  Posted on 2009/1/13 13:32
hi leco.

Quote:

Please, read this inside release_notes in pack xoops 232b:
I've just found it.
But this is not the point of the structural defect.
Just check the archive itself.
htdocs/
       mainfile.php
       (etc)
       xoops_lib/
                 modules/
                         protector
should be
htdocs/
       mainfile.php
       (etc)
xoops_lib/
          modules/
                  protector

Of course, "xoops_lib" sounds bad.
Perhaps, they cannot imagine how long I pondered the folder's name should be placed outside of DocumentRoot.

I've considered XOOPS_HIDDEN_PATH, XOOPS_OUTSIDE_PATH, DONT_PLACE_IT_IN_DOCROOT, and so on...

I finally determined the name as XOOPS_TRUST_PATH sice minahito suggested a good word "TRUST".


Quote:
Furthermore, they published a tutorial that explains how to remove the folders on htdocs.
All they have to do is just moving xoops_lib outside of htdocs.
(I also recommend they rename it into "xoops_trust_path")

After this, they can write a tutorial how to place xoops_lib inside htdocs for some hosting services don't allow to put files outside of htdocs.

Quote:
Obviously there are good modules as news, smartsections, article and xgal.
I cannot understand what you mean by this sentence.
leco1  Posted on 2009/1/12 20:10
See this article:

A Guide to Make your XOOPS Installation even more secure

http://www.xoops.org/modules/news/article.php?storyid=4601
leco1  Posted on 2009/1/9 21:10
GIJOE

Please, read this inside release_notes in pack xoops 232b:


Installing XOOPS 2.3.2
-----------------------------------

1. Copy the content of the htdocs/ folder where it can be accessed by your server
2. Ensure mainfile.php and uploads/ are writable by the web server
3. For security considerations, you are encouraged to move directories "/xoops_lib" (for XOOPS libraries) and "/xoops_data" (for XOOPS data) out of document root, or even change the folder names.
4. Make the directory of xoops_data/ writable; Create and make the directories of xoops_data/caches/, xoops_data/caches/xoops_cache/, xoops_data/caches/smarty_cache/ and xoops_data/caches/smarty_compile/ writable.
5. Access the folder where you installed the htdocs/ files using your web browser to launch the installation wizard

Installing Protector in XOOPS 2.3.2
-----------------------------------
We also highly recommend the installation of the PROTECTOR module which will bring additional security protection and logging capabilities to your site:

To install Protector module for the first time with a new installation of XOOPS 2.3.2, copy /extras/mainfile.dist.php.protector to /htdocs/mainfile.dist.php BEFORE installing XOOPS.

If you are upgrading an existing XOOPS Website (see below how to do it), and Protector is already installed there, copy /extras/mainfile.dist.php.protector to /upgrade/upd-2.0.18-to-2.3.0/mainfile.dist.php BEFORE upgrading XOOPS.

Furthermore, they published a tutorial that explains how to remove the folders on htdocs.

Although the modules made by xoopers are very weak, the latest 2.3.x series evolved significantly and facilitated use of its modules.

Obviously there are good modules as news, smartsections, article and xgal.

Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!