:::
admin - 資通安全訊息 | 2007-05-17 | 點閱數: 1315

 XOOPS之myAlbum網路相簿模組2.0及以前的版本被發現存在著安全性漏洞,可能導致SQL插入式攻擊(SQL Injection)或其它惡意/不當利用行為,請使用單位務必儘速升級至2.5以上版本。

縣網中心Linux/XOOPS虛擬主機日前發現使用單位上傳之PHP程式遭到惡意利用,經檢視發現多所學校使用之myAlbum網路相簿(2.0或以前版本)存在安全性漏洞並可能受到SQL Injection攻擊,請各使用單位儘速升級至2.5以上版本,未升級者將由縣網中心代為進行升級動作,以維護系統安全。各校自行架設XOOPS系統並使用myAlbum網路相簿模組2.0以前版本者,亦請自行升級以免遭受損害。

myAlbum網路相簿模組2.84版下載
http://www.xoops.org/modules/repository/singlefile.php?cid=36&lid=1196

原作者對於安全漏洞的說明

http://xoops.peak.ne.jp/modules/news/index.php?page=article&storyid=420

尚有其他XOOPS模組已被發現存在安全性問題,若貴校曾使用以下模組,亦請儘速更新升級或停用:

模組名稱 版本 (弱點程式名稱) 攻擊種類
=============================================
Jobs <= 2.4 (cid) SQL 插入式攻擊
WF-Links <= 1.03 (cid) SQL 插入式攻擊
Rha7 Downloads 1.0 (visit.php) SQL 插入式攻擊
WF-Snippets <= 1.02 (c) BLIND SQL 插入式攻擊
PopnupBlog <= 2.52 (postid) BLIND SQL 插入式攻擊
Zmagazine 1.0 (print.php) Remote SQL 插入式攻擊
XFsection <= 1.07 (articleid) BLIND SQL 插入式攻擊
WF-Section <= 1.01 (articleid) SQL 插入式攻擊
RM+Soft Gallery 1.0 BLIND SQL 插入式攻擊
myAlbum-P <= 2.0 (cid) Remote SQL 插入式攻擊
debaser <= 0.92 (genre.php) BLIND SQL 插入式攻擊
Camportail <= 1.1 (camid) Remote SQL 插入式攻擊
Kshop <= 1.17 (id) Remote SQL 插入式攻擊
Tiny Event <= 1.01 (id) Remote SQL 插入式攻擊
eCal <= 2.24 (display.php) Remote SQL 插入式攻擊
Tutoriais (viewcat.php) Remote SQL 插入式攻擊
Core (viewcat.php) Remote SQL 插入式攻擊
Library (viewcat.php) Remote SQL 插入式攻擊
Lykos Reviews 1.00 (index.php) SQL 插入式攻擊
Repository (viewcat.php) Remote SQL 插入式攻擊
MyAds Bug Fix <= 2.04jp (index.php) SQL 插入式攻擊
Friendfinder <= 3.3 (view.php id) SQL 插入式攻擊
Articles <= 1.03 (index.php cat_id) SQL 插入式攻擊
Articles <= 1.02 (print.php id) SQL 插入式攻擊