News
■shiromuku(f)BBS version2.41以前に任意のファイルを作成される脆弱性が存在することが確認されましたので対策を施した新バージョンをリリースいたしました。
■概要
sPerl CGI's By Mrs.Shiromuku が提供する shiromuku(f)BBS には、任意のファイルを作成される脆弱性が存在します。
■影響を受けるシステム
shiromuku(f)BBS version2.41 およびそれ以前
■想定される影響
遠隔の第三者によって、サーバ上に任意のファイルを作成される可能性があります。結果として、任意のコードを実行される可能性があります。
■対処方法
shiromuku(f)BBSをご利用の方は、最新版 version2.42 にアップデートしていただきますよう、お願い申し上げます。フリーウェアダウンロードページより、最新版をダウンロードしてください。
http://www.t-okada.com/cgi/s_downloader1/■バージョンアップ方法
すべてのスクリプトファイルを最新版に差し替えて下さい。
■関連情報
JVN#94502417
shiromuku(bu2)BBS における任意のファイルを作成される脆弱性
■謝辞
この脆弱性情報は、JPCERT/CC から当サイトにご報告をいただきました。
JPCERT/CCおよびIPAへ本脆弱性情報を報告頂いた方に御礼申し上げます。
・設定により画像認証式投稿キー機能を使用できるように致しました。
※最新バージョンは2.40です。
※最新バージョンに同梱しています画像ファイル(フォルダごと)とCyptフォルダ、gifcat.plをアップし、*_gl.cgiも差し換えませんとこの機能は正常に動作致しません。さらに管理モードの設定も行って下さい。この点ご注意下さい。
※他のBBSにこの機能を追加して欲しいというご希望がありましたらメールにてお知らせ下さい。できるだけバージョンアップでご要望にお答え致します。
・設定により英文のみの投稿を拒否出来るように致しました。
・禁止ワードを設定出来るように致しました。
※最新バージョンは2.30/3.10です。
※バージョンアップされる場合はsf_bbs_gl.cgi/ss2_bbs_gl.cgi以外のすべてのスクリプトファイルを差し替えて下さい。
・ユーザがアイコンを登録した際にアイコン名が同じになってしまう不具合を修正致しました。(アイコン名の元になる日付の取得が正しくされていなかったため)
・トピック表示において、最終投稿者のメールアドレスがない場合、最初の投稿者のアドレスになってしまう不具合を修正致しました。
※最新バージョンは2.41です。
なお2番目の不具合につきましてはshiromuku(f)BBS,shiromuku(f1)BBS,shiromuku(mt)BBSにつきましても修正致しました。
・自動応答文を登録する際にタグが無効になっていたのを修正いたしました。
※最新バージョンは共に2.14です。
メール送信が出来ないなどの不具合を修正致しました。
専用アイコンを管理者も訪問者も登録出来るように致しました。
ただしあくまでお遊びということで、専用アイコンかどうかは名前で判断するだけの簡易的なものですのでご了承下さい。(登録された名前以外の人が専用アイコンを選択するとエラーになります。)
※同時に管理モードですでに登録されたアイコンの名前などを変更出来るように致しました。(ファイルは変更出来ませんので、ファイルを変更したい場合は、削除してから再登録していただくことにになります。)
アイコン追加・修正・削除ページサンプル
http://www.t-okada.com/cgi/sf1_bbs_admin.html
■スクリプト内部を大幅に書き換えました。
■ほとんどすべての設定をWeb上で行えるようになりました。
■BBSとしての機能にはほとんど変わりはありません。
※旧バージョンからバージョンアップされる場合はお手数ですがアイコンの設定をやり直して下さい。