PEAK XOOPS - Protector is ready for SA20176 :-)

Protector is ready for SA20176 :-)

Date 2006-05-23 03:18:38 | Category: XOOPS

SecuniaにこんなAdvisoryが上がってます。
http://secunia.com/advisories/20176/

英語が読めなくても、リンク先を読めばだいたいの意味はわかるはずです。register_globals=on でさえなければ問題になりません。

もちろん、Protectorをインストールしてあれば、もしこの手の攻撃が来ても、ヌルバイト対策・変数汚染対策の両方が有効に機能して、ログに記録されることでしょう。

もし、Protectorを入れていない、もしくは入れるつもりがないのでしたら、register_globalsの設定をもう一度確認してください。（個人的にはProtectorをインストールしてない公開XOOPSサイトなんて怖くて仕方がないと思いますが

）

一番の「脆弱性」は、このSA20176そのものより、 register_globals=on という設定でXOOPSを運用してしまうことにあると考えた方が良いでしょう。

You can read more news at PEAK XOOPS.
http://xoops.peak.ne.jp

The URL for this story is:
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=110