2002-03 << 2002-04 >> 2002-05

2002-04-13 (土)

*いろいろ

例のやつの添付ファイル表示時のCGIのパラメーターをPATH_INFOで参照するようにした.これで,画像メール作成時に「?」より後が消える問題を解消.さらに添付ファイルごとの参照キーを生成するようにして,保存された添付ファイルのURLを人に教えても平気なようにする.

Vectorにデスクトップ金魚鉢を登録したのだけど,凄いミスをしてしまった.デバッグ用のコードが混ざっていて妙な種類が増えてます.でも,画面には表示されなかったりして(笑).後で,直さないと.

そういえば,plalaから返事が無いな…もう一週間以上たつのに.


定型CGIのセキュリティーの問題について
・plala様
埼玉県立秩父高等学校のWebページの製作をしている川平と申します.

この度,ページに「ぷらら掲示板」を付けたのですが,このCGIは,場合に
よってはパスワード無しで記事が消せる問題があるようです.
実際には<*略*>かもしれません.
しかし<*略*>からもある程度推測可能です.

また,記事番号として渡す文字列を操作することによって,サーバー上の任意の
ファイルを消すことも出来るようです.
具体的には,
<*略*>
によって,秩父高校のトップページが消える事を確認しました.

また,<*略*>することによって,
記事削除時に入力するパスワードの送信先を変更し,管理者パスワードを不正に
得られる可能性があります.

さらに他の定型CGIも同様の問題がある可能性があります.
非常に危険な状況ですので早急に対処してもらえるとありがたいです.

とりあえず危険な部分は略ということで(^^;
というような内容のメールを送ったのですが.
使う側からすると無視されても困るんですけど….

// さらに恐ろしいことにCGIがスーパーユーザーで動いている気が….