2011-09-09
CodeIgniter 2.0.3 に対するノート(脆弱性とバグ)
(最終更新 2012/01/23)
これ以外の脆弱性をご存じの方がいらっしゃいましたら、是非、お教え願います。
既知のバグ
脆弱性など
- xss_clean() に脆弱性
- $this->db->cache_delete_all() すると .htaccess や index.html も削除されるためキャッシュファイルが漏洩する可能性
- Active Record での limit() の SQL インジェクションの可能性
- CSRF 対策のトークン漏洩の可能性
- MySQL/MySQLi ドライバでの SQL インジェクション(SET NAMES している)
- no title
- CodeIgniter 2.0.3 で修正済みだが、MySQL ドライバは PHP 5.2.3 以上、かつ、MySQL 5.0.7 以上(mysql_set_charset() 関数が使える環境)が必要
- Form ヘルパーの XSS 脆弱性
- $this->input->ip_address() で IP アドレス偽装の可能性
バグ
- バックスラッシュがセッションを破壊するバグ
- セッションが消失するバグ
- $this->config->set_item() で設定を変更しても config_item() では変わらない
- URI セグメントに「文字列:数字」があるとパースに失敗する
- トランザクションのテストモードが機能しない
- $this->db->escape_like_str() のワイルドカードのエスケープにバグ
- Date ヘルパーの日付フォーマットのバグ
- Core クラスの置き換えが有効にならない
- Issue #8: Can’t Replace core classes in 2.0.0 ? EllisLab/CodeIgniter ? GitHub
- no title
- CodeIgniter 2.1.0 で修正予定
関連
- CodeIgniter 2.0.1 に対するノート(脆弱性とバグ) - A Day in Serenity @ Kenji
- CodeIgniter 1.7.3 に対するノート - A Day in Serenity @ Kenji
Permalink | コメント(0) | トラックバック(1) | 21:44 
現場で使えるSQL 第2版 (DB Magazine SELECTION)
トラックバック - http://d.hatena.ne.jp/Kenji_s/20110909/1315572290
リンク元
- 25 http://club.h14m.org/kenji/CodeIgniter/
- 12 http://pipes.yahoo.com/pipes/pipe.info?_id=f8e50936209277c7946c9bc16b988bf7
- 10 http://phpspot.org/blog/archives/2011/09/ipphp.html
- 9 http://twitter.com/
- 9 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCYQFjAA&url=http://d.hatena.ne.jp/Kenji_s/20110909/1315572290&ei=4edzT-O8Cq3omAWi-8CqCA&usg=AFQjCNEG35o2yU-pkWWgpTQ8n_ljmvc_oQ&sig2=oaWJRIDXWLunCzacCgF2kg
- 9 https://www.google.co.jp/
- 6 http://reader.livedoor.com/reader/
- 5 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&ved=0CEUQFjAE&url=http://d.hatena.ne.jp/Kenji_s/mobile?date=20110909&ei=a0F-T-vjDpCJmQXL-pjrDQ&usg=AFQjCNHLlq6Nlm0NSg8Vz3hTi5UTXR3tuw&sig2=kRRmPp0ho4ND0vLyWOe2Fw
- 4 http://b.hatena.ne.jp/hotentry/diary
- 4 http://hootsuite.com/dashboard