Geeklog > Geeklog日本公式サイト Geeklog Japanese [PC・スマートフォン・携帯対応] 
Wiki DEMO Code Docs FB Page FB Group 開発Docs
Wiki DEMO Code Docs FB Page FB Group 開発DocsFCKeditorに脆弱性が発見されました
- 2007年6月20日(水) 19:36 JST
-
- 投稿者:
- mystral-kk
-
Secuniaによると,FCKeditor-2.4.3にファイルアップロード時のセキュリティチェックを回避されてしまう脆弱性が発見されました。再現条件としては,
- サーバとしてMicrosoft Windowsを使用している
- NTFSのAlternate Data Stream (ADS)をファイル名に指定して,ファイルをアップロードする
- FCKeditorのconfig.phpでファイルのアップロードを許可している(Geeklogではデフォルトで許可になっています)
です。この3つの条件が揃うと,悪意あるユーザが任意の名前でファイルのアップロードができるようになってしまうというものです。Geeklog-1.4.1に同梱されているFCKeditorのバージョンは2.3.1なので,たぶん影響を受けるものと思います。Microsoft Windowsサーバをお使いの方は,config.phpでファイルのアップロードを無効にすることが推奨されています。
トラックバック
- このエントリのトラックバックURL:
- http://www.geeklog.jp/trackback.php/20070620193641200
この記事にはトラックバック・コメントがありません。
サイト管理者はコメントに関する責任を負いません。