大和田 健一
linux****@ohwad*****
2006年 3月 26日 (日) 00:17:30 JST
[セキュリティ情報] XFsection 1.11 http://linux.ohwada.jp/modules/mydownloads/singlefile.php?cid=1&lid=5 XFSection モジュール に 不正なコードが実行されるという脆弱性が発見されました。 これを修正した V1.11 をリリースしました。 至急 バージョンアップされることをお勧めいたします。 今回の脆弱性は、下記のように GET変数 を自動展開していたことが1つの原因です。 これに類するコードが全て修正しました。 ----- foreach ($HTTP_GET_VARS as $k => $v) { ${$k} = $v; } ----- ● v1.11 全てバグフィックスです。 機能追加はありません。 1.セキュリティ foreach ($HTTP_GET_VARS as $k => $v) を削除した 2.PHP5 対応 (1) Fatal error: Cannot re-assign $this in include/functions.php (2) Fatal error: Cannot redeclare class wfsfiles (3) register_long_arrays = Off $HTTP_*_VARS を置換した 3.ページ番号が1つ余計に表示される ○ 変更したファイル 多くのファイルを変更したため、デグレしているかもしれません -- 大和田 健一 <linux****@ohwad*****>
