世界的にXOOPSの本家とは xoops.org ってことになり、本流は2.3系列って事になっているようです。
そこの最新版である xoops-2.3.2b というアーカイブをダウンロードしてみてあきれました。
htdocs/ の中に、xoops_lib というフォルダがあって、その中に、XOOPS_TRUST_PATHに置かれるべきファイルが詰まっているのですから。
しかも.htaccessすらなし。
思わず目が点になりました。
mamba氏が、XOOPS_TRUST_PATH内のファイルにLFIがある、という不思議なレポートをしてきて、その意味が理解できなかったのですが、アーカイブ構造を見て納得しました。
つまり、彼らはXOOPS_TRUST_PATHの意味を一つも理解していないのです。
XOOPS_TRUST_PATHを、xoops_lib なんて名前に勝手に変更しているのも、彼らがXOOPS_TRUST_PATHの意味を理解していないことの証拠の一つでしょう。
mamba氏は「Protectorにセキュリティホール(LFI)があるから独自にfixをした」、とか言ってましたが、DocumentRootの外にあるのが前提となっているファイル群に場当たり的なパッチを当ててもまったくの無意味です。
案の定、今度はRFIとしてレポートが上がったそうです。
http://www.milw0rm.com/exploits/7705
これはProtectorの穴ではなく、XOOPS-2.3.2の穴であると正確に理解してください。
とにかく、phppp はじめ xoops.org の開発者に言いたいことは以下の3つです。
XOOPS_TRUST_PATHをアーカイブのhtdocs/の外に出してください。
DocumentRootの外と内の違いについて勉強してください。
Protector V3のインストール方法を繰り返し読んでください。
それが出来ないのなら、同梱なんてしないでください。
誤ったインストール方法をデフォルトで用意しておいて、Protectorにセキュリティホールがあるなんて言ってくるxoops.orgの神経が信じられませんし、それが原因で第三者にProtectorの存在意義を問われてしまうのもこれまた心外です。
leco1 wrotes:
See this article:
A Guide to Make your XOOPS Installation even more secure
http://www.xoops.org/modules/news/article.php?storyid=4601
Please, read this inside release_notes in pack xoops 232b:
htdocs/
mainfile.php
(etc)
xoops_lib/
modules/
protector
htdocs/
mainfile.php
(etc)
xoops_lib/
modules/
protector
Furthermore, they published a tutorial that explains how to remove the folders on htdocs.
Obviously there are good modules as news, smartsections, article and xgal.