http://www.analog.cx/security4.html

こんなのをたまたま見つけてしまったのですが…。
ちょっと心配です:(

s3サーバには5.01が入っています。
もしよろしければバージョンアップなど検討してはいただけないでしょうか…

ちょっと前にbasic認証がかかったから、でとりあえずはおっけーかな。

この文章を読む限りだと、ログファイルに誰でも好きな様に文字を入れることが出来てしまうため〜　ということだと思うのですが…。

自分でない他のユーザがAnalogを見るか見ないかは関係ないと思うのです。


英語を完全に理解できているという自信がないのではっきりとは断言できないです:(

ファイル名の特定がクラックの最初の一歩よね。

でも、これはanalogに限った事じゃないからBlueBeatさんの
言うことが正しいね。

失礼しました。

ブラウザ名の中に、とある記号が使えるってことかな。

http://****/****.cgi?<script> ・・・・ </scrript>

というページをランキングに載るような回数リクエストして、
解析されたログファイルを開くと、scriptが発動するバグ（だと思う）

アクセス解析を見なければ問題ない。
よって、バージョンアップは、しなくても良い（と思われる。）

（書かない方が良かったかな？？）

Originally posted by dutch
アクセス解析を見なければ問題ない。
よって、バージョンアップは、しなくても良い（と思われる。）

いやいや、それじゃ本末転倒な気が(汗)

どなたが試したのかは解りませんが、今日アクセスログをみてびっくりしました:eek:

User-Agentに件の事を行うとAnalogでこうなるみたいです。
生ログとAnalogを添付します(生ログはリモートホストを隠してあります。また、
添付Analogは組織別レポート、ホストレポート、リンク元レポート、検索語レ
ポートを削除してあります)。Analogは添付できる様にtxtに拡張子変更して
あるので閲覧の時は.htmlにしてください。

試した方のRefererはこの掲示板からになっていたので、恐らく試すためだけに
行ったのだと思いますが…。心臓に悪いのでやめてくださいね:(
しかもAnalogのレポートでタグが閉じられてません（ソースを見ると閉じるのが
途中で終わってるみたいです）。この程度ならまだ良いのですが、スクリプトだ
ったらと思うとぞっとします。

ということで、真剣にバージョンアップ検討御願いしますm(_ _)m＞サポート様

以下その部分の生ログです。

*.iij4u.or.jp - - [26/Mar/2002:22:03:37 +0900] "GET / HTTP/1.1" 200 1973 "http://sb.xrea.com/member.php?action=getinfo&userid=1065" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.iij4u.or.jp - - [26/Mar/2002:22:03:38 +0900] "GET /top.css HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.iij4u.or.jp - - [26/Mar/2002:22:03:38 +0900] "GET /images/enter.png HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.iij4u.or.jp - - [26/Mar/2002:22:03:38 +0900] "GET /images/banner/migiwa.png HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.iij4u.or.jp - - [26/Mar/2002:22:03:54 +0900] "GET /index2.html HTTP/1.1" 200 1300 "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:03:54 +0900] "GET /main.css HTTP/1.1" 200 6566 "http://bluebeat.s3.xrea.com/index2.html" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:03:56 +0900] "GET /images/migiwabk1.jpeg HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/index2.html" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:03:58 +0900] "GET /images/migiwat.png HTTP/1.1" 206 34248 "http://bluebeat.s3.xrea.com/index2.html" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:02 +0900] "GET / HTTP/1.1" 200 1973 "-" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:03 +0900] "GET /top.css HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:03 +0900] "GET /images/banner/migiwa.png HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:03 +0900] "GET /images/enter.png HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:06 +0900] "GET / HTTP/1.1" 200 1973 "-" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:06 +0900] "GET /top.css HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:07 +0900] "GET /images/enter.png HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"
*.iij4u.or.jp - - [26/Mar/2002:22:04:07 +0900] "GET /images/banner/migiwa.png HTTP/1.1" 304 - "http://bluebeat.s3.xrea.com/" "<font size=5 color=#a02020><b>どう、大丈夫？</b></font>"


追記:テーブルが崩れてしまいましたね…(汗

サポートです。

任意の文字列を埋め込んだり、ブラウザースクリプトを実行できるようですね。

早いうちにアップグレードしておきます。

analogのバージョンアップの御願いをしてから結構経ちますが…
未だ5.01のままです(^^;;

最新版だとNetscape7を認識したり出来るようです。

既に日本語化ファイルもでているようなので、可能ならばアップグレードを御願いしたいのですが…。

追記：失礼しました。日本語化ファイルはマニュアルのものでした(^^ゞ日本語化パッチは5.01までしかでていないようですが、最新版の日本語対応ってどうなんでしょうか…。

よろしく御願いしますm(_ _)m

# jp.analog.cxにある対処法に「この対処を行うとJISで出力できなくなる」と
ありますが、XREAではEUCでの出力を行っているので大丈夫ですよね(^^)

# あ、もしかするともうパッチ当たってたりするんでしょうか…

日本語化ファイルは、問題が発生しない場合は最新版のものへ更新しておきます。

Analog本体は当分の間現状のまま利用いたします。

了解しました。

よろしく御願いしますm(_　_)m