KENT-WEB サポートコーナー 過去ログ [ 0098 ]


記事No: 13891
投稿日: 2015/03/31(Tue) 20:29:22
タイトルJoyful Note の脆弱性対策について
ID情報: yoshino7
投稿者: ヨシノ
URLhttp://null

初めまして。いつもJoyful Noteを利用させていただいております。素晴らしいCGIをありがとうございます。

過去記事の検索とFAQを拝見しましたが、解決できませんでしたので、新規スレッドにて質問させていただきます。


まず私はv5.2を改造したスクリプトを使用しております。

KENT WEB様では、JPCERT/CC報告のJoyful Noteの脆弱性についてv5.3で対策をされたと伺っておりますが、現在使用しているスクリプトに直接対策を施すことは可能でしょうか。

Joyful Note 6.01のregist.cgiを拝見しましたが、 #ユーザ記事削除 と #記事修正処理 部分のこちらの行、

$in{no} =~ s/\D//g;

それから、#フォーム入力チェック の #不要改行カット 部分について、変更があることは拝見しました。もし構造的に大きな変更が無く、対策がこれらの行の追加、変更のみで済めば…と思い、質問させていただきました。複雑な対処が必要であれば、詳細お答えいただかなくても構いませんので、よろしくお願いいたします。


脆弱性対策とは別件ですが、業者による迷惑投稿についてもうひとつ質問があります。

普段、迷惑投稿の通知があればすぐに削除しており、迷惑投稿そのものはそれほど問題ないのですが、最近、メール通知が来ない投稿が増えています。通知の来ない投稿は、日本語を含まない投稿(普段は弾くようにしています)なのですが、これらを回避して投稿する方法が確認されておりますでしょうか。

こちらの改造が原因なのであれば仕方が無いのですが、このような例が報告されているのでしたら、何卒、対策としてお知恵をお貸しください。


記事No: 13899
投稿日: 2015/04/05(Sun) 07:44:40
タイトルRe: Joyful Note の脆弱性対策について
ID情報: kent
投稿者: KENT

> $in{no} =~ s/\D//g;

↑はい、改造箇所はここだけです。

> 普段、迷惑投稿の通知があればすぐに削除しており、迷惑投稿そのものはそれほど問題ないのですが、最近、メール通知が来ない投稿が増えています。通知の来ない投稿は、日本語を含まない投稿(普段は弾くようにしています)なのですが、これらを回避して投稿する方法が確認されておりますでしょうか。

これは思い当たらないですね。
特にそのような方法は自分の知るかぎりはないかと思われます。
(メールサーバがスパムで弾いている可能性もあるかと)


記事No: 13900
投稿日: 2015/04/05(Sun) 09:08:00
タイトルRe^2: Joyful Note の脆弱性対策について
ID情報: yoshino7
投稿者: ヨシノ
URLhttp://null

ご返信ありがとうございます。
どうやら、最小限の修正だけで対策できそうです。ありがとうございました。

迷惑投稿の件については、フィルタでフォームからの通知送信は全て通すようにしておりますが、サーバがGmailのため、もしかすると何か別の理由で弾かれている可能性もなくもないですね。ただ、迷惑メールフォルダには入っていないことと、日本語を含まない投稿であること、不自然な部分が最近の迷惑投稿に全て共通しているため、何かの回避方法があるのではと思った次第です。

ありがとうございました。


[検索ページ] [掲示板]