ProtectorにLFIだそうです(笑)
Date 2008-11-29 04:45:23 | Category: XOOPS
|
xoops.org (Mamba) がこんなニュースを出しました。 Security : Protector Security Fix for XOOPS 2.0.x and 2.2.x users
先に結論から言うと、無意味なレポートなので、無視して構いません。 XOOPS_TRUST_PATH内のファイルにアクセスされたらLFIだ、なんてトンデモなレポートですから
この世の中には、DocumentRootの外に置く部分と中に置く部分が別れているアプリケーションはごまんとあります。 むしろそういうアプリケーションの方が正しい設計であり、全部をDocumentRoot内に置く古いXOOPSの構造こそある意味おかしいと言えます。
もし、前者のようなアプリケーションについて、DocumentRoot外に置かれるべきコードをDocumentRoot内に置いて、そこに直接アクセスされたとしたら、そりゃあゴロゴロと「脆弱性」が出てくるように見えるでしょう。 少なくとも、PathDisclosureくらいはいくらでもあります。
でも、誰もそんな馬鹿げたレポートはしません。 なぜなら、DocumentRootの内か外か、というのは非常に重要な違いであると言うことを誰もが知っているからです。
XOOPS_TRUST_PATH はDocumentRootの外に置く これは大原則です。
こんなニュースを出すという時点で、xoops.org は誰もセキュリティの基本を知らないことを露呈してしまっています。 (ニュースだけならサイト管理者であるMamba氏が無知なだけでしょうけど、ご丁寧にもphppp氏がメールで問い合わせまでしてきてます)
翻って、ImpressCMSを見てみると、彼らはちゃんとXOOPS_TRUST_PATHの意味を理解していることが判ります。例えば、mainfile.php 内のパスワード部分を、XOOPS_TRUST_PATH内に別ファイルとして保存しています。 (本当に必要かどうかはともかく)
つまり、xoops.orgからリリースされるXOOPSという名前のCMSより、ImpressCMSの方がお勧めだと言えるでしょう。
|
|