[セキュリティリリース]注意: インストール・スクリプトを削除してください!

メーリングリストに最近ポストされたメールは、Geeklogのインストールやアップグレードが成功した後は、インストール・スクリプトを常に削除するこの重要性を思い出させます。

MaXe氏はGeeklog 1.5.xのインストールスクリプトに、パスの漏洩とリモートのファイルをインクルードするといった結果を招く可能性のある、クロスサイトスクリプティン(XSS)を指摘されました。このXSSは、1.6.0のインストール・スクリプトにも未だに残っていて、Nemesisと自称される方から事前に我々(Geeklog team)からも指摘がありました。

この問題に我々は、次の1.6.0のリリース(おそらくrc1)では注意したいと思います。そこでもう一度:

1. インストールの手順に従ってください。
2. インストール・スクリプトを削除するという、組み込まれた注意に従ってください。
3. 我々が以前に提供したインストールの前、最中、後の各段階でのセキュリティ上のヒントに従ってください。

http://www.geeklog.net/article.php/remove-the-install-script

A recent posting on the Bugtraq security mailing list should serve as a reminder to always remove the install script after a successful install or upgrade of Geeklog: MaXe points out an XSS, a path disclosure, and a remote file inclusion in the 1.5.x install script. The XSS is still present in the 1.6.0 install script and has been pointed out to us before by a person who called himself Nemesis.

We'll take care of this in the next 1.6.0 release (probably rc1). So again: Please follow the installation instructions and the built-in reminders to remove the install script and the other security tips that we provide before, during, and after the install.

トラックバック

このエントリのトラックバックURL:: http://www.geeklog.jp/trackback.php/remove-the-install-script

この記事にはトラックバック・コメントがありません。

[セキュリティリリース]注意: インストール・スクリプトを削除してください!
0コメント
アカウント登録

サイト管理者はコメントに関する責任を負いません。

サブメニューをスキップしてフッタへ

タグメニュー

セミナー
Coworking

タグクラウド

cnet picasa sns xss セキュリティセキュリティリリースセミナーセミナー報告プラグインモバイル不具合情報受賞大阪愛知掲示板携帯自動インストーラー

サイトカレンダ

サイトカレンダをスキップ

日	月	火	水	木	金	土
«	2012年 05月					»
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Geeklog Japanese

検索