News
■shiromuku(pl)BBS version1.23以前に任意のファイルを作成される脆弱性が存在することが確認されましたので対策を施した新バージョンをリリースいたしました。
■概要
sPerl CGI's By Mrs.Shiromuku が提供する shiromuku(pl)BBS には、任意のファイルを作成される脆弱性が存在します。
■影響を受けるシステム
shiromuku(pl)BBS version1.23 およびそれ以前
■想定される影響
遠隔の第三者によって、サーバ上に任意のファイルを作成される可能性があります。結果として、任意のコードを実行される可能性があります。
■対処方法
shiromuku(pl)BBSをご利用の方は、最新版 version1.24 にアップデートしていただきますよう、お願い申し上げます。フリーウェアダウンロードページより、最新版をダウンロードしてください。
http://www.t-okada.com/cgi/s_downloader1/■バージョンアップ方法
すべてのスクリプトファイルを最新版に差し替えて下さい。
■関連情報
JVN#94502417
shiromuku(bu2)BBS における任意のファイルを作成される脆弱性
■謝辞
この脆弱性情報は、JPCERT/CC から当サイトにご報告をいただきました。
JPCERT/CCおよびIPAへ本脆弱性情報を報告頂いた方に御礼申し上げます。
・デザイン設定にトップページのtargetを指定する項目がないのを修正致しました。
・またAdminのtarget指定が「TARGET=_parent」と固定のためフレームを使っていた場合フレームが解除されてしまうのを修正致しました。
※最新バージョンは1.23です。
※バージョンアップされる場合はspl_bbs_gl.cgi以外のスクリプトファイルを差し換えて下さい。
・shiromuku(bu2)BBS/shiromuku(bm)BBS/shiromuku(pl)BBS/shiromuku(r2)BBS/shiromuku(u1)GUESTBOOKにおいて、パスワードによる投稿制限機能を使用の際に、投稿者による記事修正が出来ない不具合を修正致しました。
■shiromuku(pl)BBSバージョンアップ
・パスワードによるアクセス制限及び書き込み制限が出来るようになりました。
※最新バージョンは1.20です。
■shiromuku(s2)BBS修正
・過去ログにレスフォームが表示されてしまうバグを修正致しました。
※最新バージョンは2.08です。
各ユーザのアイコンをそれぞれ専用ディレクトリにアップロードするように修正致しました。
これにより、複数のユーザが同じ名前のアイコンファイルを登録している場合に、一人のユーザがアイコンを削除すると他の人のアイコンが表示されなくなるなどの不具合が解消されます。
なおこの機能はバージョンアップ後に追加登録されるカテゴリーについて適用されます。
※shiromuku(pl)BBSの配布を開始致しました。
■shiromuku(bu2)BBSを元に、一つのCGIで複数の掲示板を作成・管理出来るように致しました。
■各掲示板ごとにデザイン・アイコン・IDとパスワードを設定出来ます。またファイルアップを許可するかどうか選択出来ます。
解説ページ
http://www.t-okada.com/cgi/cgi_scripts/11_20_log.htmlサンプル(テスト不可)
http://www.t-okada.com/cgi-bin/spl_bbs/spl_bbs.cgi※なおこのCGIの配布に伴いshiromuku(2)BBSSの配布は中止致しました。ご了承下さい。