
【質問】PukiWiki 1.5.3以前の脆弱性について
いつも掲示板参考にさせていただいてます。
昨日、サーバーを管理してもらっている会社から
PukiWiki 1.5.3以前のバージョンの脆弱性について情報をもらいました。
現行のHAIKはPukiWiki 1.4.7 みたいなので回避策を2点対策しました。
今のところ動作に問題はなさそうです。
■default.ini.phpの置き換え
※ダウンロードファイルそのままだとページ下部にリンク先一覧が表示されるので
default.ini.php ファイル内の記述
$related_link = 1; となっている箇所を、
$related_link = 0; に変更
■plugin/dump.inc.phpの削除
その他
■ attachプラグイン(plugin/attach.inc.php)の回避策
こちらは今回のバージョン「1.4.7」に該当するかどうか判断しかねるが、
必要に応じて回避策などを取ることを勧められました。
ファイル添付の機能については、問い合わせフォームで運用しているのとりあえずそのままにしました。
2005年の情報の様ですので、さすがに改善されている気がするのですが何かご存じの方おられますでしょうか?

Re: 【質問】PukiWiki 1.5.3以前の脆弱性について
いしまるさん
情報ありがとうございます。
思っていたより早く対応してもらえたようです。
慌てて自分で対策しなくてもよかったかもしれませんね。
ありがとうございました。

Re: 【質問】PukiWiki 1.5.3以前の脆弱性について
投稿日 |
: 2022/09/09(Fri) 10:36 |
投稿者 |
: いしまる◆vOmCuTAP2Tw |
参照先 |
: |
よく確認してはいませんので、今回の関連なのか
わかりませんが、脆弱性についての修正が行われた
7.6.1が昨日夜にリリースされたようです。
https://github.com/open-qhm/qhm

Re: 【質問】PukiWiki 1.5.3以前の脆弱性について
うみほしさん、ありがとうございます。
default.ini.phpについてですが
PukiWiki/Errataのページよりダウンロードした対策ファイル
>https://ja.osdn.net/projects/pukiwiki/downloads/77085/default.ini.php.1.4.7-1.5.1.cve-2022-36350.zip/
このファイルの$related_link = 1; を0にして差し替え作業しました。
商用利用しているのでサーバー管理会社から促されるままに作業を進めましたが、
知識がなく不安な部分もあります....。
HAIK側でPukiWiki のバージョンアップ対応してもらえるのがベストなので
要望は出しておきました。(HAIK-CLUB会員です)
open-qhmサイトの情報もありがとうございます。
履歴を眺めてみました。
attachプラグイン(plugin/attach.inc.php)の回避策は2005年の情報なので
古すぎて判断がつかないですね。
こちらはやはり気にしないでおこうかと思います。

Re: 【質問】PukiWiki 1.5.3以前の脆弱性について
投稿日 |
: 2022/08/29(Mon) 05:14 |
投稿者 |
: うみほし |
参照先 |
: |
公開情報としてはopen-qhmサイトを調べるといくつかわかります。
詳しくは会員で内部の情報が無いとわかりませんが、
脆弱性対策については2016〜2017年にいくつか行われていますね。
たとえば、
>https://github.com/open-qhm/qhm/issues/28
「dllink.inc.phpの脆弱性 #28」
などです。
こちらで確認したところ、HAIK7.6.0では、
>default.ini.php ファイル内の記述
$related_link = 1; となっている箇所を、
$related_link = 0; に変更
これについて確認したところすでに値が0になっていました。
昔自分で直したのか、システム側で直したのかは記憶にないのでわかりません。