[重要]attachプラグインのXSS脆弱性について-PukiWiki作業日記/2005-05-22-Wiki [自由帳]

Top > PukiWiki作業日記 > 2005-05-22

[ Page comments(0) ] [ Track Back(0) ]

Counter: 3267, today: 3, yesterday: 1

#fusen(off)のテスト

久々のコミット(Ver 1.3.1)

[重要]attachプラグインのXSS脆弱性について

Category PukiWikiMod:[ プラグインバグ ]

すでに、ご存知の方も多いと思いますが Wikiシステムのファイル添付機能に XSS 脆弱性が見つかっています。

PukiWikiMod もその脆弱性があり、ファイル添付機能を管理者だけに限定する設定にすることを強くお勧めします。

設定方法

plugin/attach.inc.php の設定を変更します。
plugin_data/attach/config.php が存在する場合は、必ずそのファイルを修正してください。

	// 管理者だけが添付ファイルをアップロードできるようにする
	define('ATTACH_UPLOAD_ADMIN_ONLY',FALSE); // FALSE or TRUE

	// ページ編集権限がある人のみ添付ファイルをアップロードできるようにする~
	define('ATTACH_UPLOAD_EDITER_ONLY',FALSE); // FALSE or TRUE

を

	// 管理者だけが添付ファイルをアップロードできるようにする
	define('ATTACH_UPLOAD_ADMIN_ONLY',TRUE); // FALSE or TRUE

	// ページ編集権限がある人のみ添付ファイルをアップロードできるようにする~
	define('ATTACH_UPLOAD_EDITER_ONLY',TRUE); // FALSE or TRUE

につまり両方ともTRUEに設定してください。

管理者以外にファイルアップロードを許可したい場合

attach.inc.php を最新版のCVS:plugin/attach.inc.phpに入れ替えてください。
ただし、すべてのブラウザに対して有効ではないので、その場合は必ず添付ファイルを監視して、警戒してください。

CVS最新版でアップデートすると、XOOPSのブロック「最近の添付ファイル」ブロックが利用できるようになります。
この場合は、アップデート後にXOOPSのモジュール管理でもモジュールのアップデート作業を忘れずに行ってください。

アップデート方法につきましては、 PukiWikiMod/アップデートを参考にしてください。

plugin.phpでエラーが出てしまうようです。 -- GuymHaga 2005-05-22 (日) 16:42:37
Warning: Missing argument 2 for do_plugin_inline() in /home/guym/www/xoops/modules/pukiwiki/plugin.php on line 160 -- GuymHaga 2005-05-22 (日) 16:43:43
Warning: Missing argument 3 for do_plugin_inline() in /home/guym/www/xoops/modules/pukiwiki/plugin.php on line 160 -- GuymHaga 2005-05-22 (日) 16:44:36
Warning: Missing argument 2 for do_plugin_convert() in /home/guym/www/xoops/modules/pukiwiki/plugin.php on line 122 -- GuymHaga 2005-05-22 (日) 16:45:09
再現性はまだよくわかってません。例えば、ここだとIE6.0で最初に表示したときにエラーが出ますが、リロードするとエラーが出なくなります。前記のページから飛ぶカテゴリーのページも同じです。 -- GuymHaga 2005-05-22 (日) 16:48:54
また、エラーがずっと出っぱなしのページもあります。＞一時的にゲスト解放しました -- GuymHaga 2005-05-22 (日) 16:54:13
Warning: Missing argument 3 for tostring() in /home/guym/www/xoops/modules/pukiwiki/plugin/attach.inc.php on line 728 -- GuymHaga 2005-05-22 (日) 16:55:24
↑もう一つ、attachの方もエラーが出ていたのを貼り忘れ　あと、attachrefを対処済みですか？ -- GuymHaga 2005-05-22 (日) 16:57:25
あと、希望としては「登録ユーザーだけが添付ファイルを付加できる」というのが「全体」と「ページごと」にあるといいですね……とまた勝手な希望。（笑） -- GuymHaga 2005-05-22 (日) 17:06:50
とりあえず、しばらくはエラー出しっぱなしにしておきますが、明日にはバージョンダウンしてしまうので確認だけでも今日中にお願いします。確認できたら、うちのコルクボードあたりに確認した旨の付箋でも張っておいてください。<(_ _)> -- GuymHaga 2005-05-22 (日) 17:18:50
- 原因は判りましたので、修正しますね。ただ、今回からのエラーではなく以前から出ていたような感じですね。 -- nao-pon 2005-05-22 (日) 22:38:52
- おっと、attachref を忘れてた。これも修正します。 -- nao-pon 2005-05-22 (日) 22:40:38
- ATTACH_UPLOAD_ADMIN_ONLY=TRUE, ATTACH_UPLOAD_EDITER_ONLY=FALSEの場合に添付できてしまう問題を修正しました。->CVS:plugin/attachref.inc.php -- nao-pon 2005-05-23 (月) 18:18:14
あら、今回からのエラーじゃないのですか？　うちの方ではattachとpluginを入れた途端に出始めたものですから。 -- GuymHaga 2005-05-22 (日) 22:45:15
と思ったら、バージョンダウンしても元に戻らなくなってしまいました。エラーでっぱなし……どーしよう -- GuymHaga 2005-05-23 (月) 10:52:30
- 修正してみました。お試しください。
  CVS:plugin.php, CVS:plugin/attach.inc.php
  -- nao-pon 2005-05-23 (月) 18:11:24
warningは出なくなったのですが、noticeが表示されてしまう……なんなんでしょう？？ -- GuymHaga 2005-05-23 (月) 21:40:31
フォーラムに内容を載せました……なにかみすってるのかなぁ。 -- GuymHaga 2005-05-23 (月) 22:23:37

付箋機能(wema) メニュー

付箋の編集

Page name:	PukiWiki作業日記/2005-05-22 [ Sended pings(0) ]
Author:	nao-pon	- 2005/05/23 22:23:38 JST(1142d)
Last edit:	nao-pon	- 2005/05/23 22:23:38 JST(1142d)
Editers:	nao-pon
Back Link:	コルクボード(6d) コメント(42d) PukiWikiMod(48d) nao-pon(92d) CVS(266d) PukiWiki作業日記(376d) アップデート(463d) XOOPS(760d) GuymHaga(998d) nao-pon(1007d)