DotNetNuke 対応ホスティングサービスに、「at link 専用サーバサービス」を追加
DotNetNuke.jp 掲示板は、すべての DotNetNuke ユーザーのための情報共有の場です。単に質問・回答の場ではありませんし、回答義務もございません。運営メンバーも含め、DotNetNuke を日々学んでいる状況です。質問をする場合は、まずインターネットなどで自分自身でお調べいただき、その情報を共有する事をこころがけてください。
[注意] この文書は DotNetNuke Corporation による原文をもとに、日本 DotNetNuke ユーザー会が独自で翻訳し、解釈を加えたものです。原文との内容に相違が生じる場合は、原文が優先されます。
公開日:2008年5月27日 文書バージョン:1.0 セキュリティの重要度:緊急
背景: DotNetNuke はインストールまたはアップグレード中に、データベーススクリプトを実行し、データベーススキーマの作成や様々なデータの追加を行います。
問題の概要: この問題は、DotNetNuke インストールウィザードがリモートで実行することが可能な点にあります。 この問題により、再実行を考慮していない一部のデータベーススクリプトが再実行されデータの欠落や不整合を発生させる可能性があります。
問題を緩和する要素: 実行される可能性のあるデータベーススクリプトは、既定のインストールフォルダに存在するものに限定されます。 攻撃者がこのフォルダにSQLスクリプトをアップロードすることはできないため、任意のSQLスクリプトが実行される危険性はありません。
影響のあるバージョン: 3.0 ~ 4.8.2
影響のないバージョン: 上記に含まれないすべてのバージョン
問題の対応策: 最新バージョン(4.8.3以降)へのアップデート。 最新バージョンへのアップグレードが不可能な場合は、/Install/Install.aspx ファイルをリネームまたは削除します。
原文の参照先: http://www.dotnetnuke.com/News/SecurityPolicy/SecurityBulletinno16/tabid/1161/Default.aspx
DotNetNukeのセキュリティポリシー: http://dotnetnuke.com/SecurityPolicy/tabid/940/Default.aspx
翻訳担当: Tomotoshi Sugishita