セキュリティーアップデート(重要)

category-icon

 こんばんは、martinです。このトップページにアクセスしたらJavaScriptのダイアログが表示されてびっくりしましたが、朝仕事前にSafariでのデバグのためにアラート表示をしていて、そのまま仕事に突入したので、放置したままでした。すみません。

 本題ですが、現行(1.6.4)以下の、すべてのバージョンのppBlogにクロスサイトスクリプティングWの脆弱性がありますので、ppBlogのお使いの方々は、面倒ですが、アップデートをお願いします。お手数を掛けますがよろしくお願いします。基本的には、添付したファイル群の上書きで良いと思います。詳しくは、同梱してあるREADME.txtを参考にして下さい。

 現状、正式には、1.6.4というのが最新版になるかと思いますが、それ以下のバージョンについて、とりあえず手持ちのバックアップディスクにあった主要バージョンのアップデートファイルを用意しました。バージョン1.4系というのは、スクリプト自体も古めなので、特に強くアップデートを推奨します。

 今回のアップデートでは、お使いのバージョンごとに対応するアップデータを作ったつもりなのですが、あの主要バージョンが抜けているよと、というのがあればご指摘下さい。

 以前、ppBlogの検索モジュールで、似たような脆弱性があって、それ以降、開発の際には気を付けていたつもりでしたが。。個人的には非常に残念で、ユーザーの方々には、申し訳なく思いますが、今回のことを肝に銘じて、今後もppBlogの開発は続けていきます。今週中には、最新版のv1.7.0をリリース出来るかと思います。

 なお、具体的にどんなことができるかについて確認したいという方は、ここで実際の手法について公表するのは、適切ではないと考えますので、メール(martin.info.jp以下gmailアドレス)にて問い合わせいただければ、簡単なサンプルを提供いたします。

 

— posted by martin at 07:53 am   commentComment [5]  pingTrackBack [1]

この記事に対するコメント・トラックバック [6件]

scrollUp1. 憩いの場 Website — 2007/10/30@23:51:00

このサイトを?yen;成しているppBlogにXSS(クロスサイトスクリプティング)の脆弱性が発見されたらしい。至急アップデートファイルを適用せよとのこと。
続き »

2. sa — 2007/11/01@01:04:53

更新お疲れさまです。
ファイルを上書きするとArchivesの月表示が変になります
例えば3月のリンク
http://p2b.jp/index.php?date=20070301&display=boxLink
が二月です。
以上、ご報告まで

Owner Comment martin Website  2007/11/01@06:04:26

こんばんは。ご指摘ありがとうございます。お使いのサーバーのPHPバージョンは5.2.xとかでしょうか。またしても、タイムゾーンの設定をヨーロッパにしてたままでしたf(--;
 これのせいかも知れません。月の変わり目ですし。対処法としては、utils.phpの始めの方にある、タイムゾーンの設定を

if(PHP_VERSION >= '5.1.0') date_default_timezone_set('Asia/Tokyo');

とされて、おそらくこのままではエラーが出るかもしれません。その際は、この行を、owner/ini.inc.phpの$_self = 'index.php';の下に移して下さい。
 上記でなければ、また別の原因を考えないといけないですねぇ。

4. a user — 2007/11/01@05:16:46

不具合報告

Ajaxモードでリスト表示にすると、コメントを許可していない記事にもコメントボタンが表示されてしまいます。実際にコメント投稿もできてしまいます。

Owner Comment martin Website  2007/11/01@06:11:57

ご指摘ありがとうございます。これは前からあってそうな不具合ですね。とりあえず、utils.phpの、915行目あたりから始まる2行を

if(COMMENT_AUTO_SUSPEND && COMMENT_APPEND_SPAN * 86400 < (time() - $_id)){
$allowComment = 0;
} else $allowComment = $cmtInfo[1];

としてみたら如何でしょうか?

scrollUp6. acura — 2007/11/19@10:58:37

お疲れ様です。
164EUCを利用しています。
XSS対応モジュールを適用しましたら、テンプレートの更新後に、TOPのindex.phpが表示されない不具合に遭遇しました。
修正したテンプレート用PHPをFTPアップロードしたら不具合は生じません。
文字コード関係の不具合ではないでしょうか。

この記事に対する TrackBack URL:

設定によりTB元のページに、こちらの記事への言及(この記事へのリンク)がなければ、TB受付不可となりますのであらかじめご了承下さい。

コメントをどうぞ。 名前(ペンネーム)と画像認証のひらがな4文字は必須で、ウェブサイトURLはオプションです。

ウェブサイト (U):

タグは使えません。http://・・・ は自動的にリンク表示となります

:) :D 8-) ;-) :P :E :o :( (TT) ):T (--) (++!) ?;w) (-o-) (**!) ;v) f(--; :B l_P~

     
T: Y: ALL: Online:
Created in 0.0172 sec.
prev
2007.10
next
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31