Mozilla L10N フォーラム一覧 Mozilla 製品 とその関連ソフトの日本語化に関するフォーラムです。
参加方法などは modest を、変更履歴は Github をご覧ください。
 よくある質問  •  検索  •  登録ユーザ一覧  •  グループ   •  登録  •  ユーザ設定  •  ログインして PM を確認  •  ログイン
 [協力者募集] phpBB++ のメンテ 次のトピックを表示
前のトピックを表示
トピックの新規投稿返信
投稿者 メッセージ
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: [協力者募集] phpBB++ のメンテ     投稿時間: 2004年11月30日(火) 06:55 引用トップに移動

他と揃える意味で協力者募集と書きましたが、ほぼ個人的なお願いです。(^^;
まぁ、速やかにバージョンアップしていければ再び phpBB のセキュリティホールを悪用される可能性は抑えられるはずですので、ご協力頂けると助かります。m(_ _)m

当フォーラムで使用している phpBB++ (phpBB のカスタム版) は完全放置状態の私の個人サイトで一応 phpBB++ として公開しています。

http://skillup.jp/forum/viewforum.php?f=5
http://skillup.jp/forum/viewtopic.php?p=84#84

今後 phpBB オリジナルが更新されたときはこのトピックに書き込むか私に PM なりメールなりを送るかしてお知らせ下さい。
可能であれば代わりに最新版への対応をしてパッチを作り送ってくれると更に嬉しいです。
私の加えた修正点に問題がないかチェックしてくれたりすると感動です。

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
-
ゲスト





記事 件名:     投稿時間: 2004年12月07日(火) 07:05 引用トップに移動

http://www.phpbb.com/security/
池田



登録日: 2003年10月 09日
記事: 69
所在地: 東京

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: howdark.com exploits     投稿時間: 2004年12月22日(水) 08:39 引用トップに移動

池田です。取り急ぎ。

セキュリティホール memo
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
に、「phpBB を狙ったワーム (!) が登場しているらしい。」との記述があって、
確認してみたところ、phpBB 2.0.11 は大丈夫そうですが、
http://www.viruslist.com/en/weblog
念のため、workaround のパッチを当てとく
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
方がいいかも、です。

# phpBB.com のフォーラムもクリスマス・モードですね。 (^^;
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: Re: howdark.com exploits     投稿時間: 2004年12月22日(水) 08:55 引用トップに移動

池田 wrote:
池田です。取り急ぎ。

セキュリティホール memo
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
に、「phpBB を狙ったワーム (!) が登場しているらしい。」との記述があって、
確認してみたところ、phpBB 2.0.11 は大丈夫そうですが、
http://www.viruslist.com/en/weblog
念のため、workaround のパッチを当てとく
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
方がいいかも、です。

池田さんも セキュリティホール memo ご覧になっているんですね。
先日はかなり昔から購読している ML に自分のフォーラムがクラックされたことが掲載されたりしたのはちょっとアレでした。(^^;

で、これは 2.0.10 -> 2.0.11 の修正に含まれている箇所です。
というか、先日のセキュリティホールの該当修正箇所そのままです。
従って既にそのパッチは当てられていると思って構いません。単に 2.0.11 にまだしていない人向けの最小限の対策としてのアナウンスだと考えられます。;-)

池田 wrote:
# phpBB.com のフォーラムもクリスマス・モードですね。 (^^;

私もクリスマスモードになりたい…(^^;

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: JPCERT Alert     投稿時間: 2004年12月26日(日) 12:03 引用トップに移動

Santy Worm について JPCERT でまで警告が出されていました。
フォーラム程度のレベルの製品が JPCERT で取り上げられることなどはないと思っていたので ML チェックしていてちょっと驚きました。
# その一方で、警告出るのが遅いので JPCERT ダメだなぁ…とか思いました。(^^;

内容的にはとっくに既知ですが参考までに。

http://www.jpcert.or.jp/
http://www.jpcert.or.jp/at/2004/at040011.txt
Quote:
phpBB の脆弱性を使って伝播するワームに関する注意喚起

Santy Worm exploiting phpBB Vulnerability

http://www.jpcert.or.jp/at/2004/at040011.txt

I. 概要

phpBB バージョン 2.0.10 およびそれ以前には入力内容を適切に処理しない
脆弱性があります。この脆弱性を使って感染を広める Santy と呼ばれるワー
ムの存在が報告されています。このワームに感染したホストは Web の改ざん
などの影響を受ける可能性があります。また、このワームはスクリプトを使用
しているために感染対象のプラットフォームに依存することなく、被害が拡大
する危険性があります。

このワームによる感染を防ぐためには、phpBB をバージョン 2.0.11 (また
はそれ以降) に更新する必要があります。Santy および phpBB の脆弱性に関
する詳細については以下の文書をご参照ください。

US-CERT Technical Cyber Security Alert TA04-356A
Exploitation of phpBB highlight parameter vulnerability
http://www.us-cert.gov/cas/techalerts/TA04-356A.html

JP Vendor Status Notes - CERT/CC - JVNTA04-356A
phpBBにおけるhighlightパラメータの脆弱性を対象とする侵害活動
http://jvn.jp/cert/JVNTA04-356A.html

US-CERT Vulnerability Note VU#497400
phpBB viewtopic.php fails to properly sanitize input passed to the "highlight" parameter
http://www.kb.cert.org/vuls/id/497400


II. 対象

phpBB バージョン 2.0.10 およびそれ以前を使用しているホスト。


III 解決方法

phpBB をバージョン 2.0.11 (またはそれ以降) に更新することで解決しま
す。詳細については以下の文書をご参照ください。

phpBB 2.0.11
http://www.phpbb.com/downloads.php

US-CERT Vulnerability Note VU#497400
phpBB viewtopic.php fails to properly sanitize input passed to the "highlight" parameter
http://www.kb.cert.org/vuls/id/497400


今後も phpBB について何かありましたら宜しくお願いします。

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
Joker



登録日: 2003年10月 11日
記事: 228
所在地: 内地

ユーザ情報を表示メッセージを送信
記事 件名:     投稿時間: 2004年12月28日(火) 14:04 引用トップに移動

何かまた繁殖し始めているようです。
まぁ、大丈夫とは思いますが。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/12.html#20041228_PHP
※結構見ている人は見ているんですね、ここのセキュリティmemoサイト
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: あらら。(^^;     投稿時間: 2004年12月28日(火) 14:37 引用トップに移動

Joker wrote:
何かまた繁殖し始めているようです。
まぁ、大丈夫とは思いますが。

セキュリティチェック項目としては基本的な話ですね。私が phpBB を読んでいた範囲ではリモート Include() を許すようなミスはなかったと思いますが、また機会があればチェックします。

Joker wrote:
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/12.html#20041228_PHP
※結構見ている人は見ているんですね、ここのセキュリティmemoサイト

日本語で見るセキュリティ情報源としてはやっぱトップじゃないですかね?
CERT 系の ML は範囲が狭かったり遅かったりどうもイマイチなものが多いし。
常時すべてに目を通しているわけではないですが、ちょくちょくチェックしますね。いつからみているかはもうわかりません。

ついでにメモ
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/12.html#20041222_phpBB

他、無料な範囲で情報量(項目数)が多くて手軽に見れるのはネットセキュリティとかかな?
https://www.netsecurity.ne.jp/6.html

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
FYI
ゲスト





記事 件名: 「phpBB」最新バージョン「2.0.13」     投稿時間: 2005年3月01日(火) 20:18 引用トップに移動

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: Re: 「phpBB」最新バージョン「2.0.13」     投稿時間: 2005年3月02日(水) 22:59 引用トップに移動

FYI wrote:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563


報告 Thanks です。
Firefox 1.0.1 作業中ですが変更量が少なく即座に出来ることなので対応しました。;-)

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
Joker



登録日: 2003年10月 11日
記事: 228
所在地: 内地

ユーザ情報を表示メッセージを送信
記事 件名: PHPにDoS攻撃を受ける複数のセキュリティ・ホール,最新版「PHP 5.0.4/4.3.11」で解消     投稿時間: 2005年4月05日(火) 14:10 引用トップに移動

との事です。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050404/158440/
dynamis@知人宅
ゲスト





記事 件名: Re: PHPにDoS攻撃を受ける複数のセキュリティ・ホール,最新版「PHP 5.0.4/4.3.11」で解消     投稿時間: 2005年4月06日(水) 03:35 引用トップに移動

Joker wrote:
との事です。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050404/158440/

現在私のサーバでは誰でも画像ファイルをアップロードできる PHP スクリプトは無いはずですが、帰って時間が取れ次第最新の PHP をビルドして Update することにします。
報告感謝です。
_RSZ_
ゲスト





記事 件名: fudforum     投稿時間: 2005年4月09日(土) 14:42 引用トップに移動

http://fudforum.org/
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: Re: PHPにDoS攻撃を受ける複数のセキュリティ・ホール,最新版「PHP 5.0.4/4.3.11」で解消     投稿時間: 2005年4月15日(金) 22:09 引用トップに移動

dynamis@知人宅 wrote:
Joker wrote:
との事です。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050404/158440/

現在私のサーバでは誰でも画像ファイルをアップロードできる PHP スクリプトは無いはずですが、帰って時間が取れ次第最新の PHP をビルドして Update することにします。
報告感謝です。

遅くなりましたが事後報告。
先週末あたりに最新版に置き換えました。;-)

_RSZ_ wrote:
http://fudforum.org/

これがオススメということでしょうか?

phpBB との比較検討みたいな情報があればお知らせください。
世間的評価が確実に高いというのであれば検討しますが、既に多数のユーザに登録して使い慣れてもらっている現状、それなりの advantage がない限り phpBB からの移行は難しいです。
本家の mozillazine と UI を統一するという意味合いもありますし。

他にも似たようなものがあると聞いた覚えがありますが、よくわからないものを自力で比較検討するだけの気力はありません…m(_ _)m
# 私はかなり惰性で生きています。(^^;

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
Joker



登録日: 2003年10月 11日
記事: 228
所在地: 内地

ユーザ情報を表示メッセージを送信
記事 件名: Wikiページは大丈夫?     投稿時間: 2005年5月19日(木) 16:19 引用トップに移動

別トピックでhttp://pink.skillup.jp/wiki/index.cgi?page=FrontPageが出ていましたが、大丈夫でしょうか。

http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/05.html#20050519_Wiki
http://jvn.jp/jp/JVN%23465742E4/index.html
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: Re: Wikiページは大丈夫?     投稿時間: 2005年5月27日(金) 18:06 引用トップに移動

Joker wrote:
別トピックでhttp://pink.skillup.jp/wiki/index.cgi?page=FrontPageが出ていましたが、大丈夫でしょうか。

http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/05.html#20050519_Wiki
http://jvn.jp/jp/JVN%23465742E4/index.html

妖しいです。多分駄目な気がします。
…とおもってたら、やっぱ駄目だったようです。
http://fswiki.poi.jp/wiki.cgi#p3
2005-5-19 wrote:
3.5.8をリリースしました。

* 初期設定用のスクリプトを同梱するようにした。
* refプラグインの第3引数で別名を指定できるようにした。
* 「項目」を挟んだ「引用」がくっついてしまう問題を修正。
* 添付ファイルによるXSS脆弱性に関する修正。

今回のリリースには添付ファイルによるXSS脆弱性に関する修正が含まれています。この問題に関する修正内容は以下の通りです。

* デフォルトでHTMLのMIMEタイプをtext/htmlからapplication/octet-streamに変更した。
* MIMEタイプがimage/*以外、もしくはユーザエージェントがMSIEの場合はinlineで表示させず強制的にダウンロードさせるようにした。

この問題についての詳細は以下のURLを参照してください。

* http://jvn.jp/jp/JVN%23465742E4/index.html

現在FSWikiの添付ファイル機能を利用されている方はバージョンアップをおすすめします。

また、同じ問題に対処したFSWikiLite 0.0.11も同時にリリースしました。こちらは上記のXSS脆弱性に対する修正のみのバージョンアップとなっています。

修正版が公開されたようなので、後で pink さんに差し替えてもらうか、私の方で勝手に差し替えることにします。

てか、ある意味しゃーないといえばしゃーないような脆弱性に見える。
# そもそも wiki にはあまりセキュリティを期待していない人(^^;

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/
指定期間中に書かれた記事を表示:      
トピックの新規投稿返信


 別のフォーラムに移る:   



次のトピックを表示
前のトピックを表示
新規トピックを投稿できます
既存トピックに返信できます
自分の記事を編集できません
自分の記事を削除できません
投票に参加できません


Powered by phpBB © 2001, 2002 phpBB Group (customized by dynamis) :: FI Theme :: All times are GMT +9:00