calendar nao-pon/blog/2013.08

主な更新内容

• 63d2b09: update spamsites.dat
• 3ab24ed: update spamsites.dat
• b77c103: [preload:ktai_render] new template var "blockMenuBar" from "blockMenu"
  • 携帯対応レンダラーで、スマホ表示(jqm 利用時)用に、新しいテンプレート変数 "blockMenuBar" を
    追加しました。
    これは、従来の "blockMenu" に含まれていた、ナビゲートバーを切り出し、分割したものです。

    例えば、デフォルトでページ下部に固定されているナビゲートバーを、上部に移動しスクロール時も固定しないようにするには次のようにテンプレートを編集します。

    -- header.html --
    <div id="ktai_theme_block_menu" data-tap-toggle="false">
     <div data-role="header" style="line-height:1">
      <blockMenuBar>
      <blockMenu>
     </div>
    </div>
    <div data-role="navbar"><easylogin></div>
    <!--HIGHLIGHT_SEARCH_WORD-->
    <redirectMessage>
    <breadcrumbs>
    
    -- footer.html --
    <footerbar>
    

• 47215fc: HypCommonFunc version 20130708
• 06fbf68: add new template var 'blockMenuBar' into k_tai_conf['rebuildsEx']['jqm']
• d59f616: update spamsites.dat
• 568b055: update spamsites.dat
• c133f28: update spamsites.dat
• 941d915: update spamsites.dat
• a306329: update spamsites.dat
• 7308b37: [ktai-render] up to jQuery 1.9.1, jQuery Mobile 1.3.2
• f182f89: update spamsites.dat
• 76d69c1: update spamsites.dat
• b428173: [ktai-render] set zoomable on jQuery Mobile
• 92a9922: [hypconf] fix Warning error (thx uhouho)
  • ref. (xoops.hypweb.net)
• 1ee15ee: update spamsites.dat
• 502718d: update spamsites.dat
• 8e4b65b: update spamsites.dat
• 32ed856: update spamsites.dat
• ab66bd3: [hsamazon] use API Version 2011-08-01
  • add locales CN, ES, IN, IT & update SerachIndexes of each locale.
• 0db5991: update spamsites dat
• c51d8c1: update spamsites.dat
• 62d1d5f: add new function "CSRF Protection"
• 6cc1c6a: disable CSRF protection with define "DISABLE_HYP_CSRF_PROTECTION"
• 97ab9f5: update spamsites.dat
• 1580e29: HypCommonFunc v20130811 & hypconf v1.13

主な更新内容

• 22a7b51: [preload] add RePost function on get token error
  • トークンエラーで CSRF 攻撃と誤判定された場合に、再投稿できる仕組みを追加。
  • ただし、安全性やスパム対策として、リファラーに XOOPS_URL が含まれない場合は、送信したデータを表示するのみで、再投稿はできません。
• 1edb601: update spamsites.dat
• 09d742b: [ktai-render] insert Hint character for encoding judgment on smart(jqm)
• 8d6cd58: [preload] "HYP_CSRF_TOKEN" support on ktai-render
  • 携帯対応レンダラーが、CSRF 対策のチケットに対応していない問題の修正。
    • 携帯対応レンダラーの jqm モードで文字化け防止用エンコードヒント文字列の埋め込みがされない問題の修正。
      • ガラケー・スマホともに、プリロード側で処理するように変更した。
    • スパム防止のハニーポットをスマフィ向けにも埋め込むようにした。
• 1834efc: HypCommonFunc version 20130816

共有サーバーで mainfile.php の 0444 がなぜ危険なのか？

とあるサーバー「A」は複数のユーザーで共有しているサーバーです。
そのサーバーは PHP がユーザー権限で動きます。
そのサーバー上のすべてのユーザーは同一グループに所属しています。

mainfile.php をパーミッション 0444 で設置しました。

このサーバー「A」上では、すべてのユーザーの任意のPHPスクリプトから mainfile.php の内容を読むことができます。

といった感じです。

XOOPS の mainfile.php に何が記載されているか知らない方は、FTP で mainfile.php をダウンロードして、内容を確認してください。

私は、素人なのでこの内容が間違っている可能性もあります。間違いがありましたら、随時ご指摘ください。

シンボリックリンクによる脆弱性

共有サーバーでは、こういった問題を防ぐため open_basedir で、PHP が読み込めるディレクトリをユーザーディレクトリ以下に制限している場合がほとんどだと思います。

しかし、Apache の設定によっては、シンボリックリンクを使い、読み込み可能な位置まで仮想的に移動して、読み可能とすることが可能です。

そのような設定であるならアウトですね。

参考リンク

• Apache symlink security issue fix/patch - whmscripts

要するに

X-update の一般設定を次のように設定することを強くお勧めします。
※ .php パーミッションについては、各サーバーのマニュアルをよく読み、マニュアルに記載がある場合は、そちらを指定して下さい。