News
■shiromuku(f1)BBS version2.31以前に任意のファイルを作成される脆弱性が存在することが確認されましたので対策を施した新バージョンをリリースいたしました。
■概要
sPerl CGI's By Mrs.Shiromuku が提供する shiromuku(f1)BBS には、任意のファイルを作成される脆弱性が存在します。
■影響を受けるシステム
shiromuku(f1)BBS version2.31 およびそれ以前
■想定される影響
遠隔の第三者によって、サーバ上に任意のファイルを作成される可能性があります。結果として、任意のコードを実行される可能性があります。
■対処方法
shiromuku(f1)BBSをご利用の方は、最新版 version2.32 にアップデートしていただきますよう、お願い申し上げます。フリーウェアダウンロードページより、最新版をダウンロードしてください。
http://www.t-okada.com/cgi/s_downloader1/■バージョンアップ方法
すべてのスクリプトファイルを最新版に差し替えて下さい。
■関連情報
JVN#94502417
shiromuku(bu2)BBS における任意のファイルを作成される脆弱性
■謝辞
この脆弱性情報は、JPCERT/CC から当サイトにご報告をいただきました。
JPCERT/CCおよびIPAへ本脆弱性情報を報告頂いた方に御礼申し上げます。
・設定により英文のみの投稿を拒否出来るように致しました。
・禁止ワードを設定出来るように致しました。
※最新バージョンは2.30です。
※バージョンアップされる場合はsf1_bbs_gl.cgi以外のすべてのスクリプトファイルを差し替えて下さい。
・設定により、管理人名の投稿に対しては自動応答がされないようにすることが出来るように致しました。
※最新バージョンは2.20です。
※バージョンアップされる場合はsf1_bbs_gl.cgi以外のスクリプトファイルを差し換えて下さい。
・ユーザがアイコンを登録した際にアイコン名が同じになってしまう不具合を修正致しました。(アイコン名の元になる日付の取得が正しくされていなかったため)
・トピック表示において、最終投稿者のメールアドレスがない場合、最初の投稿者のアドレスになってしまう不具合を修正致しました。
※最新バージョンは2.41です。
なお2番目の不具合につきましてはshiromuku(f)BBS,shiromuku(f1)BBS,shiromuku(mt)BBSにつきましても修正致しました。
■shiromuku(bu2)BBS
・ほとんどの設定をWeb上で出来るように致しました。
・「閲覧用パスワード」と「投稿用パスワード」が設定可能になりました。
・バージョンアップされる場合は、sbu2_bbs_gl.cgiを含めすべてのスクリプトファイルを差し換えた後「デザインの設定」をやり直して下さい。
※最新バージョンは2.20です。
■shiromuku(f1)BBS
・記事のTABLEの背景色を透明に出来るように致しました。
・バージョンアップして記事のTABLEの背景色を透明にしたい場合は、sf1_bbs_gl.cgi以外のスクリプトファイルを差し換えた後「デザインの設定」をやり直して、TABLEの背景色を未記入にし、またTABLEの枠線の形状も指定して下さい。
※最新バージョンは2.15です。
・自動応答文を登録する際にタグが無効になっていたのを修正いたしました。
※最新バージョンは共に2.14です。
メール送信が出来ないなどの不具合を修正致しました。
専用アイコンを管理者も訪問者も登録出来るように致しました。
ただしあくまでお遊びということで、専用アイコンかどうかは名前で判断するだけの簡易的なものですのでご了承下さい。(登録された名前以外の人が専用アイコンを選択するとエラーになります。)
※同時に管理モードですでに登録されたアイコンの名前などを変更出来るように致しました。(ファイルは変更出来ませんので、ファイルを変更したい場合は、削除してから再登録していただくことにになります。)
アイコン追加・修正・削除ページサンプル
http://www.t-okada.com/cgi/sf1_bbs_admin.html
管理人が投稿した場合、自動応答文の中の「NAME」が投稿者名に変換されないのを修正致しました。
自動応答文の中の「NAME」が投稿者名に変換されない不具合を修正致しました。