| あめ系スクリプトのセキュリティホール対策について(その2) あめ系スクリプトでセキュリティホールが発覚しました。 (情報提供 及び 協力:mychan氏) 関連のスクリプトを使用されている方は対応をお奨めします。 --------------------------------------------------------------- ■セキュリティホールのあるスクリプト(2005/01/21現在) 1.サポートスクリプト(amezo.cgi)系の全て (サポートスクリプト、ゴンタくんスクリプト、三河版スクリプト、 DONUT SHOPPEスクリプト、あめざーねっとIVスクリプト etc) ※但し、オリジナル(http://ame.x0.com/)のサポートスクリプトは 既に対策済です。 ■セキュリティホールによる弊害 ・通常は騙る事が不可能な筈の管理人名が、ブラウザ上で騙り可能となる ・ログの文字化けやスレッド破壊 等 ■対応策 1.三河版スクリプトのamezo.cgiの場合 $value =~ s/\r/<br>/g; この↑ソースの下へ以下の記述を追加。 $value =~ s/[\x00-\x1f]//g; 2.上記以外のスクリプトのamezo.cgiの場合 $value =~ s/\r/<br>/g; この↑ソースをコメント化 又は 削除し、下へ以下の記述を追加。 $value =~ s/\r/<br>/g if $name eq 'comm'; $value =~ s/[\x00-\x1f]//g; --------------------------------------------------------------- |