DotNetNuke 対応ホスティングサービスに、「at link 専用サーバサービス」を追加
DotNetNuke.jp 掲示板は、すべての DotNetNuke ユーザーのための情報共有の場です。単に質問・回答の場ではありませんし、回答義務もございません。運営メンバーも含め、DotNetNuke を日々学んでいる状況です。質問をする場合は、まずインターネットなどで自分自身でお調べいただき、その情報を共有する事をこころがけてください。
[注意] この文書は DotNetNuke Corporation による原文をもとに、日本 DotNetNuke ユーザー会が独自で翻訳し、解釈を加えたものです。原文との内容に相違が生じる場合は、原文が優先されます。
公開日:2008年5月27日 文書バージョン:1.0 セキュリティの重要度:緊急
背景: DotNetNuke はインストールまたはアップグレード中に、アプリケーションの強制的なアンロードやリロードを行うことがあります。
問題の概要: この問題は、DotNetNuke のインストールまたはアップグレードステップがリモートで強制的な実行が可能である点にあります。 DoS攻撃(http://ja.wikipedia.org/wiki/DoS%E6%94%BB%E6%92%83)による要求処理は、アプリケーションのアンロードを余儀なくされる可能性があります。 またこの攻撃による副作用として、web.config ファイル内のインストール日付が異なる日付に更新されることがあります。
問題を緩和する要素: この攻撃で環境設定ファイルが異なる日付に設定される可能性はありますが、環境設定ファイル自体が閲覧されたりダウンロード、改ざんされることはありません。
影響のあるバージョン: 3.0 ~ 4.8.2
影響のないバージョン: 上記に含まれないすべてのバージョン
問題の対応策: 最新バージョン(4.8.3以降)へのアップデート。 最新バージョンへのアップグレードが不可能な場合は、/Install/Install.aspx ファイルをリネームまたは削除します。
謝辞: Tomotoshi Sugishita ( DotNetNuke Japan User Group ) Mitchell Sellers
原文の参照先: http://www.dotnetnuke.com/News/SecurityPolicy/SecurityBulletinno15/tabid/1160/Default.aspx
DotNetNukeのセキュリティポリシー: http://dotnetnuke.com/SecurityPolicy/tabid/940/Default.aspx
翻訳担当: Tomotoshi Sugishita
お疲れ様です。鈴木@SONZです。
些細なことですが、 >we.config ファイル内のインストール日付 は、 web.config ではないでしょうか。