phpBB パッケージ：
phpBB2日本語版 phpBB2-0-22 EUC-JP

本体バージョン：
2-0-22 Rev1.0.3（2-0-21からバージョンアップ）

MOD インストール：
はい

インストール済み MOD(s)：
Unique Registration Hash 0.1.0
CrackerTracker 5.0.3
File Attachment Mod 2.4.5
Redirect anonymous users to login 1.0.8
POST only posting (for phpBB2-0-21jp)
Active Members Only 1.1.1
Admin Userlist 2.0.6c
Notify ADMIN of all posts 0.0.1 改訂版 t_m_miyako改
Simply merge 1.0.0
Enter your name 1.0.0
Defualt Post Sort Order 1.1.1c
Integrated Toplist 1.0.3

質問者の phpBB レベル：
MOD インストール成功

phpBB URL：
http://genshiro.net/forums/

レンタルサーバー URL：
自宅サーバー使用

PHP バージョン：
4.3.9

データベースバージョン：
4.1.20

・不具合の内容

ユーザーからプロフィール画面でアバター画像を変更できないと連絡が有り、調べてみると一般ユーザーでアバター画像を変更する為画像一覧を表示しようとした場合や、署名の表示・非表示などを変更して「送信」ボタンを押すとCracker Trackerの警告が出るのを確認しました。

・これまでに試した事

管理者のIDでログインした場合、全く問題なくプロフィール編集ができてしまっていたのでCracker Trackerのインストール直後から問題がでていたのか、それともその他のMODを追加した後からか判断出来ず、別途phpBBをインストールしてこちらで配布されている「【差分】Attachment Mod + CrackerTracker for 2-0-x jp」のみ加えた状態と比較してみました。

結果、common.phpの

コード:

include($phpbb_root_path . 'ctracker/engines/ct_security.' . $phpEx);

をコメントアウトしているかいないかの違いを発見。
これをコメントアウトすると問題が無くなりました。

が、同等の処置がこちらのスレッドでCracker Trackerを一時停止させる方法として掲載されているので果たして今回の問題の解決策として適当なのか判断が付きません。
この方法が適当なのか、また不適当であれば他の対処法など教えて頂ければ幸いです。

よろしくお願いします。

源四郎 の記述を引用:

この方法が適当なのか、また不適当であれば他の対処法など教えて頂ければ幸いです。

その方法だとセキュリティが格段に落ちるとおもいます。私もたいした対処法を言えませんけど、以下に思ったことをかきますね。参考になるかわかりませんけど・・

まず、ctracker/engines/ct_security.php における
$ct_rules = array(・・・・・)；
を
$ct_rules = array()；
に置き換えてみて症状が治るようなら、array(・・・・・) 内のどれかの値がセキュリティに引っかかってるんだと思います。その場合、ひっかかってる値だけを削除すれば問題なくなると思います。そのひっかかってる値をみつけるのが大変そうですが・・・

ご回答頂きありがとう御座いました。

早速調査したところ、問題の値が判明したのでご報告します。

ctracker/engines/ct_security.php 内 131行目付近を以下のようにコメントアウトしたら問題無くなりました♪

コード:

'g\\', 'bin/python', 'bin/tclsh', 'bin/nasm', 'perl%20', 'perl ', '.pl',

↓

コード:

'g\\', 'bin/python', 'bin/tclsh', 'bin/nasm', 'perl%20', 'perl ', [color=red]/*[/color]'.pl',[color=red]*/[/color]

で、さらに質問なんですが、今回コメントアウトした「.pl」という値、これはどういったチェックを指示してるんでしょう？
plと言う拡張子ですとperlスクリプトファイルのチェックをしなくなったと考えていいのでしょうか？（アップできるファイル種別でpl拡張子が無ければ問題ない？）

何度も申し訳ありません。

あれ？codeタグ中は指定できませんでしたっけ？
quoteの中はできたと思いますが・・・・・見苦しくて申し訳ありません。

源四郎 の記述を引用:

さらに質問なんですが、今回コメントアウトした「.pl」という値、これはどういったチェックを指示してるんでしょう？plと言う拡張子ですとperlスクリプトファイルのチェックをしなくなったと考えていいのでしょうか？

まず Cracker Tracker のプログラムの基本動作として、URL と $_GET と $_POST に $ct_rules のどれかの値が入ってたらセキュリティにひっかかるようになってる...と思うんですが間違ってたらゴメンナサイ。ず～っと以前に少し調べたときは確かそうだったような。
「.pl」について、Cracker Tracker の作者さんにとっては perl 拡張子を意味していたのは間違いないと思います。でも拡張子じゃなくて全く別の意味(例えば <input name="action.pl"> みたいな感じ）で「.pl」が　$_GET と $_POST にまぎれこむ可能性はあると思います。そこら辺が原因かもしれません。

源四郎 の記述を引用:

アップできるファイル種別でpl拡張子が無ければ問題ない？

なぜ Attachment MOD が 「.pl」にひっかかるのかその原因によると思います。自分としては上記に挙げた様な例が原因かなとおもうんですが。アップできるファイル種別にpl拡張子があるかないかが原因かどうかについてはすぐ調べられるとおもうんで、源四郎さんの報告期待してます。


すいません。原因を調べようと思えば調べられると思うんですが。かなり時間と体力消耗しそう・・

なんか誤解させてしまったようで・・・・（＾　＾；）
「アップできるファイル種別で～」とお聞きしたのは今後拡張子plのファイルを許可した場合、セキュリティ的に落ちるのかなぁ？とただ単純に思っただけで現在は拡張子plは不許可になっています。

で、せっかくなので試してみたんですが、今回実施したct_security.phpのpl部分をコメントアウトしようがしまいがAttachment MODの拡張子管理で許可を与えれば拡張子plのファイルも普通にアップできるようです。（Attachment MODでアップされるファイルに対してのチェックは行われていない？）

問題だったプロフィール編集不可な件は今回の処置で問題無いようなのでしばらく様子を見てみようと思います。

ありがとう御座いました。