XOOPS2.2.×がキープする脆弱性への「未パッチ」 3
ストーリー by GetSet
運用対処にも限界があるし 部門より
運用対処にも限界があるし 部門より
あるAnonymous Coward曰く、"公式サイトの度重なる閉鎖や日本チームの独立など、 何かと話題に上ったCMSオープンソース「XOOPS」に関し、 「海外版2.2.×バージョン」と「WF-downloadsモジュール」に セキュリティ上の脆弱性が存在すると、11/15までにsecunia.com他で報告されている。
危険度はいずれも「中」程度であるものの、 「WF-downloadsモジュールにおいてSQLインジェクション可能となる脆弱性」に対しては、 具体的な手順もネット上で既に出回っている為、ユーザーは要注意だろう。"(続く…)"モジュール作者はこの指摘を受け、同日に”
パッチをリリース”したようだが、
現在、作者が見直した筈のこのパッチにもまだ「わかりやすい穴」が残っていると、
一部で話題になっているようだ。
発見者の一人は、11/16午後に「作者へ連絡しておいた」と、 日本のXOOPSCubeフォーラム で報告しているが、11/17深夜現在に至るまで、 作者が新しいパッチをリリースする気配はなく、 「わかりやすい穴」とやらが、とり残されたままであるらしい。
また、問題が発見されたコアプログラム「XOOPS2.2.×」の方は、 10/30にXOOPS.orgで「2.2.3 Final」としてリリースされた (その発表直前にも 公式サイトがクラックされていた)バージョンで、 今のところアップデート版の発表等はない。
(この問題は、海外製XOOPS別バージョンである「XOOPS2.0.13.×」や、 日本独自版の「XOOPS JP(XOOPSCube)」版には無関係)
パッチ以外の手段で防げるものも含むとはいえ、 プログラム自体の「穴」が埋められないならば、 少なくともsecunia.comの「問題解決済グラフ」上では、 「未パッチ」状態をキープし続ける事になりそうだ。"
発見者の一人は、11/16午後に「作者へ連絡しておいた」と、 日本のXOOPSCubeフォーラム で報告しているが、11/17深夜現在に至るまで、 作者が新しいパッチをリリースする気配はなく、 「わかりやすい穴」とやらが、とり残されたままであるらしい。
また、問題が発見されたコアプログラム「XOOPS2.2.×」の方は、 10/30にXOOPS.orgで「2.2.3 Final」としてリリースされた (その発表直前にも 公式サイトがクラックされていた)バージョンで、 今のところアップデート版の発表等はない。
(この問題は、海外製XOOPS別バージョンである「XOOPS2.0.13.×」や、 日本独自版の「XOOPS JP(XOOPSCube)」版には無関係)
パッチ以外の手段で防げるものも含むとはいえ、 プログラム自体の「穴」が埋められないならば、 少なくともsecunia.comの「問題解決済グラフ」上では、 「未パッチ」状態をキープし続ける事になりそうだ。"
1getすらないのは (スコア:0)
Re:1getすらないのは (スコア:1)
ところで、XOOPS本家を覗くと「XOOPS Cubeって派生版というよりもXOOPS-jaに過ぎない」って発言もあるみたいだけど、
海外での普及具合はどうなの?
Re:XOOPSCUBE使ってる海外の人は (スコア:1)
セキュリティ上のメリットはあってもサポート整ってないんじゃ、
日本語読める人しか使えないようなもんだし、
「XOOPS-jaに過ぎない」その認識は正しい気も。
といっても、2.2.×の方を真面目に使ってる人って・・・