さくらB70、これまずいでしょ | 買い物、自重。なバイク乗りの日記

2005/02/21

さくらB70、これまずいでしょ

めっちゃくちゃヤバイ脆弱性発見。

対象：B70 以前の全てのさくら日記帳

先に緊急リリースしておきます。
ついでに EUC 問題も削っておきました。
以下は修正方法。
簡単なコード追加なのでこれで対応してください。

修正方法：
sub init { 行の次に以下の行を挿入。
    error("パスワードが違います。") if !check_password($FORM{'writekey'});

sub config { 行の以下の行を参考に挿入。
    <form action="$script" method=POST>
    <input type=hidden name=mode value="init">
    <input type=hidden name=writekey value="$FORM{'writekey'}">　　←※追加

EUC を SJIS にする場合は以下の行を削除。
    sub regist { ルーチンにある以下の行

    # ログファイルが存在しなければ新規フォーマットで書き込み
    else { $formtmp = "$FORM{'weather'},$FORM{'subject'}\n$FORM{'comment'}"; }
    jcode::convert(\$formtmp, 'euc');　　←※これ

設定ファイル消えてたら呼んでください。バックアップこっちで確保しますた。→蝦・あぞーさん・Casper-01さん・山銀さん
それにしてもまぁ、よくもパスワード認証なしに設定の保存ルーチンに飛ばしてたもんだ。

バグメモ

設定画面で "" を使ったタイトルを使用したとき、もう一度設定しようとすると消えている
→type=text を使っていると全部出る。
s/"/"/していないのが原因。

今回のさくら日記帳で更新はひとまず止めます。
いや、内部がかなりカオス化してるので整理しないと。
MySQL 版で覚えた技術も取り入れたいですし。

MySQL版の方もあるので折り合い見ながら両方同時進行で調整かけながらにします。
ということで EUC 保存に関しては上記を参考にして無効化しておいてください。

最終：2005/09/01 00:08:32　カテゴリ：プログラム・スクリプト
タグ：さくら日記帳

蝦兄：その前にそもそも7X系自体が動かない罠・・・(汗)
Ｇ兄：つっこむ所は似たようなもんッス。
蝦兄：意を決してフルバージョン入れたら動きました．
ついでに「真っ白でストップ」の原因判明．
どうもnamelist.txtを旧来の物で使ってるとNGのようです．
Ｇ兄：>namelist.txt
およ？MJSK？
触った覚えないんだが・・・。
って
旧　　来　　っ　　て　　い　　つ　　で　　す　　か　　。
すんげー過去じゃないかと疑ってみるﾃｽﾂ。
蝦兄：namelist.txtも文字コード縛りを受けてるんではないかと・・・
Ｇ兄：あ、もしかしてnamelist.txtってEUCベースだから？
こっちもSJISベースにしないとだめやね・・・。
そういや触った覚えがおもっくそあるぞ。
シャア専用ルーチン仕込んだアレだ。
蝦兄：ですな，おそらく．
内部で変換してあれこれ・・・とやるよりEUCならEUC，S-JISならS-JISでバシッと決めちゃった方が安全なんでしょうね．
あるいはオプションなんかで使用するコードを決めさせて「EUCの場合はこっち」「S-JISの時はこっち」と，処理の初っぱなの方にフロー分岐を置いて完全に住み分けるとか．
namelistもログもその設定に準拠する形で読み込むようにして，処理の行程から「変換」と言う作業を追い出してしまうのはちょっと強引ですかね(^^;)

しかしその場合はログの文字コード（特にEUC←→SJIS乗り換え組）を変換させる手段が必要になって面倒か(汗)
Ｇ兄：切り替えは出来ないですな。
それすると変換の工数が凄いことになります。
一番の問題は s/// が SJIS だとマトモに使えない・・・。
Casper-01：>namelist.txt
家も旧版ではS-JISで動いてました。
で、継承させたら文字化けの嵐 |;ω) ニャー
EUCで入れたら治りましたけど。

因みに私はTapeEditorって言う、色々な文字コードや改行を扱えるエディタ使ってます。
だもんで、EUCでもS-JISでもどっちもOKです。