こんばんは、martinです。このトップページにアクセスしたらJavaScriptのダイアログが表示されてびっくりしましたが、朝仕事前にSafariでのデバグのためにアラート表示をしていて、そのまま仕事に突入したので、放置したままでした。すみません。
本題ですが、現行(1.6.4)以下の、すべてのバージョンのppBlogにクロスサイトスクリプティングWの脆弱性がありますので、ppBlogのお使いの方々は、面倒ですが、アップデートをお願いします。お手数を掛けますがよろしくお願いします。基本的には、添付したファイル群の上書きで良いと思います。詳しくは、同梱してあるREADME.txtを参考にして下さい。
現状、正式には、1.6.4というのが最新版になるかと思いますが、それ以下のバージョンについて、とりあえず手持ちのバックアップディスクにあった主要バージョンのアップデートファイルを用意しました。バージョン1.4系というのは、スクリプト自体も古めなので、特に強くアップデートを推奨します。
今回のアップデートでは、お使いのバージョンごとに対応するアップデータを作ったつもりなのですが、あの主要バージョンが抜けているよと、というのがあればご指摘下さい。
以前、ppBlogの検索モジュールで、似たような脆弱性があって、それ以降、開発の際には気を付けていたつもりでしたが。。個人的には非常に残念で、ユーザーの方々には、申し訳なく思いますが、今回のことを肝に銘じて、今後もppBlogの開発は続けていきます。今週中には、最新版のv1.7.0をリリース出来るかと思います。
なお、具体的にどんなことができるかについて確認したいという方は、ここで実際の手法について公表するのは、適切ではないと考えますので、メール(martin.info.jp以下gmailアドレス)にて問い合わせいただければ、簡単なサンプルを提供いたします。
Comments