YAMASHINA Hio
hio****@hio*****
2005年 8月 29日 (月) 23:51:01 JST
こんにちわ, 山科です. $page =~ /$filter/ ってするだけでは? 変数を経由での正規表現に埋め込まれたコードは実行されなかったはず. # 確か. 念のため確認したほうが. 落ちちゃうかもしれないので、というのは今ひとつわかりませんが、 これを確認したいのであれば eval { $page =~ /$filter/ } でも とりあえずそれっぽい1つみつけたのでそこだけ. From: Naoki Takezoe <takez****@aa*****> Subject: [Fswiki-dev] WikiFarm利用時に脆弱性の可能性 Date: Mon, 29 Aug 2005 23:37:12 +0900 > 竹添です。 > > JPCERTからFSWikiに関して脆弱性のアナウンスがありました。 > http://jvn.jp/jp/JVN%2342435855/index.html > > WikiFarm利用時に、レンタルのような用途で子Wikiの管理権限を外部ユーザに > 与えている場合、管理画面の「ページ管理」の正規表現フィルタの欄で任意の > Perlコマンドを実行可能な脆弱性が存在します。 > > 対策として3.5.9では正規表現を使わずにAND、OR、NOTでキーワードフィルタ > リングを行うように修正しています。上記の用途にあてはまる場合は3.5.9 > へのバージョンアップを強くお勧めします。 > > なお、個人で利用している場合や、管理画面を使うユーザが十分に信用可能な > 場合はこの限りではありません。 > > -- > Naoki Takezoe <takez****@aa*****> > _______________________________________________ > Fswiki-dev mailing list > Fswik****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/fswiki-dev でわ〜♪ -- 山科 氷魚 (YAMASHINA Hio) <hio****@hio*****>