piCal-0.91のXSS脆弱性

Date 2009-02-23 04:40:20 | Category: XOOPS

in englishin japanese
piCal-0.91h にXSSが見つかりました。

以下のいずれかの対策をとることをお奨めします。

(1) 最新版(0.92以上)にアップデートする(特にカスタマイズ等していない場合)
(2) 最新版(0.92以上)からindex.phpのみ抜き出して上書きする(あちこち手を入れている場合)
(3) 自分でパッチを当てる(ある程度スキルがあり、運用環境への影響を最小限にしたい場合)

単純な見落としXSSで、見つかったのも1行だけなので、手作業でも簡単です。
index.php 154行目

		$xoopsTpl->assign( 'print_link' , "$mod_url/print.php?event_id={$_GET['event_id']}&action=View" ) ;
		$xoopsTpl->assign( 'print_link' , "$mod_url/print.php?event_id=".intval($_GET['event_id'])."&action=View" ) ;


なお、Protectorをちゃんとインストールして、「大きな傘 anti-XSS」を有効にしていれば慌てる必要はありません。極めて典型的なXSSなので、このanti-XSSがバッチリ効きます。
それでも、何かのついでにpiCalをアップデートしておいた方が良いでしょう。

ぶっちゃけた話、piCalは私がJM2さんに師事する前に書いたWebアプリケーションなので、元は「全部穴」でした。その状態のアプリケーションに修正・修正を重ねてここに至っているので、他にも見落としがある可能性はまだあります。(JM2師匠なら「捨てろ」の一言でしょうが)しかも、今はほとんどメンテしてませんので、今後、私が自分で穴を見つける可能性も低いでしょう。

piCalを使い続けるのであれば、Protectorの「大きな傘 anti-XSS」を有効にすること(または有効であると確認すること)を、強くお奨めします。
もちろん、piCalを使わない人にもお奨めします。
多くのユーザがこの「大きな傘」を長い期間利用しているはずですが、それによる不具合報告は1件もなかったので、少なくとも副作用はほぼ問題ないと言えそうですから。




You can read more news at PEAK XOOPS.
http://xoops.peak.ne.jp

The URL for this story is:
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=476