LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ News
セキュリティ情報
セキュリティ情報 : XOOPS Cube Legacy 2.1.8a リリース
投稿者 : kilica 投稿日時: 2010-11-14 00:45:59 (3231 ヒット)
セキュリティ情報

 XOOPS Cube 2.1.8 以前に存在するセキュリティホールに対するバージョン Package_Legacy 2.1.8a をリリースします。

-フルパッケージのダウンロード
-パッチパッケージのダウンロード
-リリースログ

■2.1.8からのアップデートの方法
(1)念のためXCLサイトのバックアップを取ります。
(2)管理画面からサイトを一時的に閉じます。
(3)パッチパッケージをダウンロードし、解凍して差分ファイル群を取り出します。
(4)差分ファイルの位置が合うようにして、ファイルをアップロードします。
(5)管理画面からサイトの一時的な閉鎖を解除します。

■2.1.7以前からのアップデートの方法
 XAMPP のようなローカルサーバー上にバックアップデータをインポートした上でのテストを推奨します。

 まず、既存の環境を壊さずに済むように、フルパッケージを解凍してできあがったディレクトリから mainfile.php と favicon.ico、install ディレクトリを取り除いてください。次に、フルパッケージのファイルを(ローカル)サーバーへアップロードして上書きします。

 最後に、管理画面のモジュール管理へ行って、赤いアイコン(アップデートを促すアイコン)が表示されているモジュールを片っ端からアップデートすれば完了です。

■スタッフリスト
- kilica
- Marijuana
- Mikhail
- xoopserver

■更新内容
[セキュリティパッチ]
- Fix Bug #3078705 - include/notifycation_update.php SQL インジェクションの修正

[サードパーティライブラリ]
- Fix Bug #2686348 - Smarty 2.6.26 へアップデート
- Fix Bug #2666664 - Snoopy 1.2.4 へアップデート(Marijuana さんによるパッチ適用)


コメント一覧

投稿ツリー


masahiko  投稿日時 2011/2/19 13:14
2.1.7から2.1.8にアップデートしました。
アップデートは無事終わりましたが、一点だけエラーが出ましたので報告まで。

こちらでも、同様の対処方法が載っているのですが
http://usadeki.jp/modules/d3forum/index.php?post_id=1515

今回アップデートをした際、サイトのトップ(ホーム)の表示が

Protector detects site manipulation.

の一行だけになってしまいました。

この対処方法としてProtectorを安定版の3.41にダウングレードして解決しましたが、あまりないケースとは思いますが、ローカルの環境で自分のホームページが見れる場合に「Protector detects site manipulation.」の表示が出ないので大丈夫と思いきっていました。
外部サーバーを使わずに内部のネットワークにHPサーバを持っている場合は外部から繋いで確認したほうがいいです。
以上体験談でした。
Marijuana  投稿日時 2010/11/19 9:01
たぶん、問題出ないと思うけど
http://www.xugj.org/modules/d3forum/index.php?post_id=6003
これ抜けてる^^;
heiji  投稿日時 2010/11/14 14:14
kilicaさん

早速ありがとうございます。
ご指示いただいた方法で真っ白画面にならなくなりました。

一時は私の作業ミスも含めて原因が絞り込めずどうなる事かと思いましたが(^_^;)、早々に解決できてよかったです♪

いろいろ大変だと思いますが、開発者の皆様方にはいつも感謝しておりますので、末永くよろしくお願い致します。
kilica  投稿日時 2010/11/14 8:52
ぎゃあ、ごめんなさい。PHP5用のコードが紛れていました。

PHP4.* を使われていて、すでにダウンロードしてしまった方は大変申し訳ありませんが、以下のどちらかでご対応いただけますでしょうか。

・再度ダウンロードしhtml/kernel/notification.phpをサーバにコピーする(修正版に差し替えました)

・html/kernel/notification.php l.194 を、
	function _escapeValue($value, $type=XOBJ_DTYPE_STRING)
のように "protected" という文字を削除する。

# PHP5.*をご利用の方は必要ありません。
heiji  投稿日時 2010/11/14 3:35
お世話になります。

2.1.7→2.1.8aにバージョンアップしたところ、以下の不具合が出ています。
・ログイン(user.php)した後、真っ白画面になります。
 ブラウザの「更新」を行うと、トップページが表示されます。
・XPressME Integration Kit(http://ja.xpressme.info/)が真っ白画面になります。管理画面にはアクセスできます。

とりあえずkernel/notification.phpだけを元に戻すと真っ白画面にならなくなり、正常に戻りました。
このまま運用しますが、セキュリティパッチということで心配しています。

<環境>
 レンタルサーバーです。
 SERVER::Apache/1.3.27 (Unix) (Red-Hat/Linux) PHP/4.4.7 mod_perl/1.27
 PHP Version::4.4.7
 UTF-8

よろしくお願い致します。
minahito  投稿日時 2010/11/14 0:50 | 最終変更
すみません、日本語のリリースログのURLを変更しました。
http://sourceforge.net/apps/mediawiki/xoopscube/index.php?title=Release_Logs:...

になります。
よろしくお願いします。

>管理者の方へ
申し訳ありません!
お手数ですが、ニュース本文中のURLの修正をお願いします。


Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities