タイトル | : Re: BBS昨日より変わりました。 |
投稿日 | : 2002/11/02(Sat) 22:36 |
投稿者 | : MORIMORI |
こん○○は いらっしぃませ。
> 3、3以前の古いヴァージョンでやってすが、これヤバイんでしょうか。
KENT WEBさんの Web Forum ですが、KENTさんのHPに
【プログラムは、セキュリティ対策を施した v3.3以降を必ずご使用ください。】
と書かれておりますので、バージョン上げた方が無難だと思います。
v3.3以前にどういうセキュリティ上の不具合があったのかは解りません。
v4少しみてみましたが、CGI本体自体が分割され種々の設定等のあるCGIは実行権
を持たせない様に、より安全になっている様です。
想像するのはSendMailを踏み台にして大量メールを送るって事でしょうかね。
ログファイルをつじつま合う様にテキストエディタで書き換えればバージョンアッ
プしてログも継続使用出来ると思いますので、是非v3.3以降へバージョンアップする
事をお奨めします。
ついでですが、
KENTさんのCGIに限りませんが、実行権(666)で設定したファイル(ログファイル等)
は直接参照すれば勝手にログをのぞける事も多々ありますし(~~)
構造が知られているメジャーなCGIは自己防衛も含めこれらのファイル名は変更した
方がより安心かも知れません。
以上 ご検討ください。
--------------------------------------------------------追記----
KENTさんのページの更新履歴を見たら以下の事が書かれておりました。
主にクロスサイトスクリプティングを対象としたセキュリティ対策が必要と
思われるものに対して、対応いたしました。
殆どのCGIが対象の様です。
クロスサイトスクリプティングについては以下あたりが参考になろうかと。
http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html