LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ News
  
投稿者 : GIJOE 投稿日時: 2006-08-23 10:40:44 (7632 ヒット)
XOOPSコア情報

2.0.16a-JP は、2.0.15-JPにセッション固定攻撃対策を施しただけのバージョンです。
http://www.xugj.org/modules/bulletin/article.php?storyid=24
にも書いた通り、アップグレードは必須ではありません。

ただ、置き換えるファイルも少ないので、2.0.15-JPに上げるついでに、最新版に追いついておくというのも良い考えでしょう。

コアHackとの相性ですが、include/checklogin.php が書き換わっているので、オートログインHackやe-mailログインHackを利用している場合は、マージが必要でしょう。(2.0.16a-JP用のオートログインHackはこれから用意します)

以下に、2.0.15-JPから2.0.16a-JPにかけてのアップグレードを、コアチーム視点でなく、ユーザ視点にて詳説します。


投稿者 : GIJOE 投稿日時: 2006-08-23 10:22:20 (4991 ヒット)
XOOPSコア情報

2006/8/23現在、すでにXOOPS 2.0.15-JPがリリースされて、2ヶ月以上が経過し、すでに2.0.16a-JPがリリースされてはいますが、アップグレードの説明を書けるタイミングがなかったので、今さらながらアップグレードの説明をします。

2.0.14-JPへのアップグレードの際には、「重要でないからスキップしても良い」などと書きましたが、2.0.15-JPは重要です。ただ、実のところ、本当に重要なのは1ファイルだけです。もし、XOOPSコアにいろいろ手を入れてしまっていて、ちょっとアップグレード作業を行う時間がとれない、ということであれば、class/criteria.php の上書きだけ行ってください。通常、このファイルをHackすることはないでしょうから、マージを考える必要もないはずです。

2.0.9.2 などで運用している方も、このファイルだけは上書きしてください。

ファイルの最上部を見て、criteria.php,v 1.5.8.1 などと、1.5.8.1以上のバージョン番号(1.6なら1.5.8.1より大きい)が書いてあればセーフ、1.5 もしくはこれより小さいバージョン番号が書いてあるファイルはアウトです。

もちろん、システム全体を2.0.15-JPに上げる場合は、順繰りにバージョンを上げていく必要があります。参照コア・バージョンアップファイルの選択とアップロード

コアHackとの相性ですが、今回のアップグレードで一般的に問題になりそうなのは、class/module.textsanitizer.php だけです。テキストサニタイザHackを行っている場合、このファイルについてだけは、上書きを行わず、手作業で & を一つ消すだけ、というアップデートの仕方がベストでしょう。

以下に、2.0.14-JPから2.0.15-JPにかけてのアップグレードを、コアチーム視点でなく、ユーザ視点にて詳説します。


投稿者 : GIJOE 投稿日時: 2006-08-01 06:13:28 (7442 ヒット)
XOOPSコア情報

公式アナウンス : XOOPS 2.0.16 JPリリース
2.0.15-JPから16-JPへの差分は純粋に、セッション固定攻撃への対処です。
これ、実際に経験してみれば判ることですが、ほとんど成功しない攻撃です。

しかも、


session.use_only_cookies 1

は推奨設定です。

こんなのを今さら「XOOPSの脆弱性」として連絡してくるあたり、JPCERTという組織のレベルの低さを証明しているわけですが、ちゃんと対応するコアチームは素直に偉いと思います。

ただ、session_regenerate_id() はPHPバージョンによって大きく動作が異なる上、$_SESSION の扱いも5.1と4.4では異なるために、結構ややこしい状況になっています。

参照:
Re: 2.0.16 JP にアップグレードしたところ、ログインが出来なくなった。

というわけで、急いで2.0.16-JPにアップデートする必要はありません。
元々がおかしな報告だったのですから、session.use_only_cookies 1 であることを確認した上で、2.0.15-JPのまま運用するのが良いでしょう。

近く、バージョン互換の問題を解決したバージョンが、2.0.16a-JP という形で出ると予想されますが、session.use_only_cookies が on でありさえすれば、それもスキップして、2.0.17-JP の時に一緒にアップデートする方が二度手間にならないでしょう。


なお、忙しさにかまけて重要なことを書き忘れていましたが、2.0.14-JPから2.0.15-JPの差分では、致命的なSQL Injection脆弱性がふさがれているので、2.0.14-JP以下の人はぜひ2.0.15-JPにアップデートしてください。


投稿者 : taku777 投稿日時: 2006-06-10 03:55:00 (2707 ヒット)
XOOPSコア情報

変更履歴を載せます。

http://xoopscube.jp/ より、引用


*****************************************

・100名以上のユーザーにPM送信を行う際にメール送信に切り替わってしまうバグの修正
  - modules/system/mailusers/mailusers.php

・HTTPヘッダーにポート番号が追記され一部の環境でエラーが発生する問題への対処
  - class/snoopy.php

・Noticeエラーへの対処
  - kernel/object.php
  - class/module.textsanitizer.php
  - modules/system/admin/tplsets/main.php
  - install/class/textsanitizer.php
  - Fixed reference notice errors

・Typoの修正
  - install/language/japanese.php

・SQLインジェクション対策の修正
  - class/criteira.php

・ローカルファイルインクルージョン脆弱性への対処
  - header.php
  - index.php
  - misc.php
 (※2.0.14aで公開済みのパッチと同内容となります)

・PHP4.4.0/4.4.1環境におけるメールSubject文字化けへの対処
  - language/japanese/xoopsmailerlocal.php

*****************************************


投稿者 : GIJOE 投稿日時: 2006-05-01 12:18:59 (5633 ヒット)
XOOPSコア情報

2006/4/29に XOOPS 2.0.14JP がCubeコアチームよりリリースされました。

そのリリース告知文がこれです。

引用:

XOOPS 2.0.14 JP をリリースしました。このリリースにはセキュリティ修正を含む重要なバグ修正が含まれておりますので、XOOPS 2.0.14 JP シリーズをご利用の方は出来る限り本バージョンにアップグレードされることをおすすめします。


いきなり辛口評で恐縮ですが、「狼が来た」を何度も言ってると、本当の狼(いきなり管理者権限が持って行かれるような深刻かつ緊急な穴)が来た時に、誰も反応してくれなくなるだけではないでしょうか。

とりあえず、ざっと見た限り、今回のアップデートに、「セキュリティ修正を含む重要なバグ修正」はありません。明らかに、セキュリティ修正と言えそうなのは、SnoopyやSmartyといった3rd Party製ライブラリのアップデートです。これらについても、ライブラリの穴が問題になるような利用法をしているケースは稀でしょう。メールのインジェクション対策についても、あくまで未対策モジュールへの対策であって、このあたりをちゃんと作ってあるモジュールだけを使っているなら、今すぐ問題になるというものではありません。

というわけで、時間のとれる時に、ゆっくりとバージョンアップしてください。今回は、修正されたファイル数が結構多いので、コアHackなどをかけている人は慎重にアップデートする必要があるでしょう。

どうしても時間が取れないようであれば、このバージョンをスキップすることも検討した方が良いでしょう。告知文が意味するほどには緊急性があるわけではないと思います。

ただ、PHPバージョン4.4以降で出るようになった警告への対応は、利用者にとってもメリットがあることなので、バージョンを上げて損することは無いはずです。警告文が無意味にスタックされないことで、微妙に速度が上がる効果も望めます。


以下、2.0.13aJPから2.0.14JPへのアップグレード内容について、詳説します。


« 1 ... 9 10 11 (12)
Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities