YAMASHINA Hio
hio****@hio*****
2005年 8月 29日 (月) 23:51:01 JST
Fork
こんにちわ,
山科です.
$page =~ /$filter/ ってするだけでは?
変数を経由での正規表現に埋め込まれたコードは実行されなかったはず.
# 確か. 念のため確認したほうが.
落ちちゃうかもしれないので、というのは今ひとつわかりませんが、
これを確認したいのであれば eval { $page =~ /$filter/ } でも
とりあえずそれっぽい1つみつけたのでそこだけ.
From: Naoki Takezoe <takez****@aa*****>
Subject: [Fswiki-dev] WikiFarm利用時に脆弱性の可能性
Date: Mon, 29 Aug 2005 23:37:12 +0900
> 竹添です。
>
> JPCERTからFSWikiに関して脆弱性のアナウンスがありました。
> http://jvn.jp/jp/JVN%2342435855/index.html
>
> WikiFarm利用時に、レンタルのような用途で子Wikiの管理権限を外部ユーザに
> 与えている場合、管理画面の「ページ管理」の正規表現フィルタの欄で任意の
> Perlコマンドを実行可能な脆弱性が存在します。
>
> 対策として3.5.9では正規表現を使わずにAND、OR、NOTでキーワードフィルタ
> リングを行うように修正しています。上記の用途にあてはまる場合は3.5.9
> へのバージョンアップを強くお勧めします。
>
> なお、個人で利用している場合や、管理画面を使うユーザが十分に信用可能な
> 場合はこの限りではありません。
>
> --
> Naoki Takezoe <takez****@aa*****>
> _______________________________________________
> Fswiki-dev mailing list
> Fswik****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/fswiki-dev
でわ〜♪
--
山科 氷魚 (YAMASHINA Hio) <hio****@hio*****>