- 676 名前:login:Penguin mailto:sage [2011/04/22(金) 20:42:23.68 ID:gpT+B+gV]
- >>675
えっと、結局、Install/step[3,4].php と同じような動作(POSTされたデータを保存する)
してる奴があったらアウトってこと。例えば、postsettings.php がアウト。
他にも有るかもしれないけど、確認してません。(systemSetting.phpは、postsettings.php呼んでる)
結局、POSTされたデータを解析せずというか、セキュリティーチェックせずに、そのまま使ってるのが問題。
これが>>655 でいった、1.の問題で、
2.の問題は、もっと多いかと。MySQLのepgrec用に作ったデータあベースへのパスワードを、
多分ユーザパスワード、下手するとrootのパスと同じにしている人がいる可能性は結構あって、
root取られた人は、多分こっちが問題になるね。(ubuntuとかヤバげ?w)
で、こっちは、例えば、設定を保存しているファイル settings/config.xml を直接読める時点でアウト。
結局、epgrec 自体は、外部公開用には作られてないってことだね。
外部から動かしたい場合は、 epgrec の外側から鍵かけなきゃダメ。
|
 |
