We launched new forums in March 2019—join us there. In a hurry for help with your website? Get Help Now!
    • 19033
    • 892 Posts
    とりあえず、貼り付け。
    http://modxcms.com/forums/index.php/topic,21290.msg131504.html#msg131504

    V0961に2つの脆弱性がみつかった。とあるようです。
      • 19033
      • 892 Posts
      修正箇所は5つのようです。ここから、コピペして該当ファイルを直すか
      http://svn.modxcms.com/trac/tattoo/changeset/3281
      ここからzipファイルをダウンロードして該当ファイルを上書きするか
      http://svn.modxcms.com/trac/tattoo/changeset/3281?format=zip&new=3281
      のようです。

      096は、どうなんでしょう。。

      優先順位としては、
      1. 0961ならば、ただちに、パッチを当てる。
      2. 096やそれ以前でも、0961にしてパッチを当てることを推奨する。
      と、読めますが。。

      0962は、この問題を解消している。ようです(もう出るの...?)。
        • 19033
        • 892 Posts
        # /assets/js/htcmime.php ... 096 と0961 と同じ
        # /assets/snippets/AjaxSearch/AjaxSearch.php ... 096 と0961 と同じ
        # /manager/media/script/forIE/htcmime.php ... 096 と0961 と同じ

        # /install/changelog.txt チェンジログ
        # /manager/includes/version.inc.php ... MODxのバージョンとリビジョン表示

        ということで、重要なのは、上部3つ。かな。
          • 19033
          • 892 Posts
          あれ。0962 になっちゃいました。。

          一応、うちで行った処理を書いておきます。
          096 に対しては、以下を上書き
          # /assets/js/htcmime.php
          # /assets/snippets/AjaxSearch/AjaxSearch.php
          # /manager/media/script/forIE/htcmime.php

          0961に対しては、5つすべて上書きしました。
          そしたら、0962の表示に。。。

          それで何がキケンだったのでしょうか。。?

          ---*---*---*---*---*---
          余談ですけど、097になると、こういった情報が管理画面に表示されるわけですね。
          それは嬉しいかも。。でも、英語なんですね。。

          ---*---*---*---*---*---
          あ、追記の追記ですけど。。
          念のため、上書き前のファイルはバックアップを取ってから(ローカルにあるとは思いますが...)。
          上書きするファイルを独自に変更していたりする場合は、特に気をつけてくださいね。
            • 28073
            • 164 Posts
            うちは未だにv095を使ってるのですが、同じようなソースがあるのでこちらも何かしら対応しないとダメっぽいです。
            僕の場合、

            /assets/js/htcmime.php
            /manager/media/script/forIE/htcmime.php
            


            を上書きして、AjaxSearchは使ってないのでリネームして使えないようにしてしまいました :’(

            Quote from: MEGU at Jan 03, 2008, 02:30 PM

            あれ。0962 になっちゃいました。。

            これは/manager/includes/version.inc.phpを上書きしたからですね。
            このファイルの中に0.9.6.2と書かれててるので、管理画面上のバージョンもあがってます。

            あとこの問題の影響ですが、こんな感じだと思います。
            (間違ってたらすいません)

            ・htcmime.phpの問題
            任意のローカルファイルを取得されてしまいます。
            予想される脅威としてはBASIC認証を掛けている部分のファイルを抜き出したり、Webで公開していないファイルを抜き出したりできるため、見せたくない情報やDB等のパスワード情報が漏れる恐れがあります。

            ・AjaxSearch.phpの問題
            任意のローカルファイルが実行されてしまいます。
            直接リモートファイルが実行される恐れはなさそうですが、悪意のあるPHPファイルがサーバにアップロードされた場合が危険です。
            僕のサイトにもちょくちょくアタック目的でのアクセスがあるようです(AjaxSearch使ってないのにAjaxSearchへアクセスがあるので…)。



              • 33488
              • 429 Posts
              お久しぶりです
              同じく古いバージョンですが、私も必要なところだけ充ててみました。


                • 19033
                • 892 Posts
                soushiさん。ZeRoさん。コメントありがとうございます。

                soushiさん、詳しく教えて頂いてありがとうございます。

                htcmime.phpの問題
                任意のローカルファイルを取得されてしまいます。
                予想される脅威としてはBASIC認証を掛けている部分のファイルを抜き出したり、Webで公開していないファイルを抜き出したりできるため、見せたくない情報やDB等のパスワード情報が漏れる恐れがあります。

                ・AjaxSearch.phpの問題
                任意のローカルファイルが実行されてしまいます。
                直接リモートファイルが実行される恐れはなさそうですが、悪意のあるPHPファイルがサーバにアップロードされた場合が危険です。

                それは、怖いですね。。あの、ちょっと確認したいのですが、悪意あるPHPファイルがアップロードされるとしたら、
                どこにアップロードされるか決まっているのでしょうか。

                それと、重要なのは、対象になるのは0961だけでなく、それ以前のバージョンも対象になるというところですね。
                AjaxSearch は、096と095では、標準で同梱されているスニペットのバージョンが違ったかも知れません。
                095でAjaxSearchをお使いの方は、上書きする前に、ファイルの相違を確認してください。
                • http://modxcms.com/downloads.html
                  パッチ適用済みの新リビジョン、Ver 0.9.6.1p1 が出ました。というか、パッチを適用しただけですが。

                  パッチだけが欲しい人は、当トピックからダウンロードしてそのまま上書きしてください。
                    • 19033
                    • 892 Posts
                    Search-Highlighting Plugingに脆弱性があると報告されています。
                    http://modxcms.com/forums/index.php/topic,22621.msg139250.html#msg139250

                    修正パッチが出るのかどうか、本家に問い合わる予定でが、パッチが出るまで、
                    以下の二つのうちのどちらかを行うことをお勧めします。

                    Search-Highlighting Pluging を無効にする。
                     または、
                    Search-Highlighting Pluging の以下の部分を修正する
                    $searched = urldecode($_GET['searched']);
                    $highlight = urldecode($_GET['highlight']);

                    ↓修正
                    $searched = strip_tags(urldecode($_GET[’searched’]));
                    $highlight = strip_tags(urldecode($_GET[’highlight’]));
                    ※公式修正コードはこちら 2008.02.14※
                      • 19033
                      • 892 Posts
                      上記脆弱性に関する修正方法が正式に公開されました。
                      http://modxcms.com/forums/index.php/topic,22621.msg140214.html#msg140214

                      回避方法は、二つです。
                      ・「search highlight plugin」の52行目付近を以下に修正する
                      $searched = strip_tags(urldecode($_REQUEST['searched'])); 
                      $highlight = strip_tags(urldecode($_REQUEST['highlight'])); 


                      ・「search highlight plugin」を無効にする
                       「リソース」>「リソースの管理」>「プラグイン」で、「search highlight plugin」を
                       開き、「全般」>「プラグインの停止」にチェックを入れる>保存

                      ※尚、ダウンロードページからダウンロードできる最新バージョンは、0.9.6.1p2となっており、上記の修正が施されています※

                      ---*---*---*---*---*---
                      この脆弱性は、修正前の「search highlight plugin」が走っているサイトを通して、
                      悪意あるJavaScriptが実行される可能性がある。というものです。

                      以下のようなコードが実行可能です。
                      http://shopping-siteA.com/?searched=test&highlight="><IMG%20SRC="javascript:location.href='http://sham-site.com/';

                      そして、以下のようなことが起こりえます。

                      Search Highlightingプラグインをonにしているmodxサイトで、ショップを構築しているサイトが
                      あるとする(ショップA=shopping-siteA.com)。そこでいつも買い物をしているBさんのところに、
                      Cという悪徳業者から、ショップAからのダイレクトメールのように見せかけたメールが来た。

                      そのDMの中に、以下のコードがあった。
                      http://shopping-siteA.com/?searched=test&highlight="><IMG%20SRC="javascript:location.href=’http://sham-site.com/’;
                      Bさんは、ドメインを見て、ショップAだと思い、リンクをクリックした。しかし、そこは
                      業者Cが作った、ショップAそっくりな偽ショップだった。

                      Bさんは、いつものようにユーザ名とパスワードを入力して ログインした。