http://www.xugj.org/ 日本XOOPSユーザーズグループ Fri, 03 Jul 2009 12:12:25 +0900 http://backend.userland.com/rss/ XOOPS News admnweb@xugj.org admnweb@xugj.org ja http://www.xugj.org/images/logo.gif http://www.xugj.org/ 144 100 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=148 6/28の夜、2.2.0の名前を冠したパッケージがsf.netに登録されました。 ダウンロード https://sourceforge.net/project/showfiles.php?group_id=159211&release_id=692954 ただ、オフィシャルサイトに告知はありませんし、ファイル名などを見る限り、一種のマイルストーンリリースのように見えます。 Mon, 29 Jun 2009 03:43:15 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=148 From XUGJ
ダウンロード
https://sourceforge.net/project/showfiles.php?group_id=159211&release_id=...

ただ、オフィシャルサイトに告知はありませんし、ファイル名などを見る限り、一種のマイルストーンリリースのように見えます。アーカイブの中身をざっと確認した限りでは、かなりかゆいところに手が届いているように見えます。

目玉と思われるprofileモジュールはもちろん、ファイルマネージャも追加されています。

englishとja_utf8以外はすべてextra_languagesに入っている、というのも、実際の利用者には嬉しいところです。
（とにかく言語関連のファイル数が多すぎてアップロードに失敗するケースが少なくなかったため）

興味深いのは、pmモジュールがmessageモジュールに差し代わっている点。
これはつまり、PHP4.xへの対応はもうやめて、PHP5以上を要求する、というのと同義です。

今後の動きに注目したいと思います。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=147 XOOS JPExプロジェクトが、XOOPS JPExの最新版であるバージョン1.6をリリースしましたのでお知らせします。 バージョン1.6の主な変更点は、次のとおりです。 ◎ 不具合報告修正 ○ 不具合報告『[JPEx1.5]メインメニュー表示順のゼロ設定（メインメニュー非表示）が効いてない』修正 http://www.xoops-ri.jp/jpex/modules/community/index.php?topic_id=22 ◎ 機能改善、追加 ○ 全体幅可変のリキッドレイアウトテーマ「liquid」を追加(デザインはdefaultテーマと同じ) ◎ 仕様変更 ○ テンプレートファイルの読み込み方法を変更 ○ ボタン画像を日本語化 いくつかのボタンだけ日本語化されていたため、思い切ってすべてのボタンを日本語表記に変更 ◎ メンテナンス ○ PHPプログラムのソースコードをフォーマット 不具合の報告やリクエストを受け付けておりますので、何かありましたらプロジェクトサイトに書き込んでください。 Sat, 20 Jun 2009 14:40:26 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=147 XOOPS関連ニュース XOOS JPExプロジェクトが、XOOPS JPExの最新版であるバージョン1.6をリリースしましたのでお知らせします。

バージョン1.6の主な変更点は、次のとおりです。
◎ 不具合報告修正
○ 不具合報告『[JPEx1.5]メインメニュー表示順のゼロ設定（メインメニュー非表示）が効いてない』修正
http://www.xoops-ri.jp/jpex/modules/community/index.php?topic_id=22

◎ 機能改善、追加
○ 全体幅可変のリキッドレイアウトテーマ「liquid」を追加(デザインはdefaultテーマと同じ)

◎ 仕様変更
○ テンプレートファイルの読み込み方法を変更

○ ボタン画像を日本語化
いくつかのボタンだけ日本語化されていたため、思い切ってすべてのボタンを日本語表記に変更

◎ メンテナンス
○ PHPプログラムのソースコードをフォーマット

不具合の報告やリクエストを受け付けておりますので、何かありましたらプロジェクトサイトに書き込んでください。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=146 Ver 1.6.6.2 以前に存在する XSS 脆弱性の修正を Ver 1.6.7 にて行いました。 また、Ver 1.6.7 に存在したファイルをアップロードできない問題を Ver 1.6.7.1 にて修正しました。 該当のバージョンをお使いの方は、速やかにアップデートされることを強く奨励いたします。 * ダウンロード - PukiWikiMod 最新版 * アップデート用差分パック なお、今回の脆弱性情報につきましては、JPCERT/CC および 情報処理推進機構 IPA を通して連絡を頂きました。 この脆弱性情報を報告していただいた方、情報処理推進機構 IPA、ならびに JPCERT/CC の各担当者様に感謝いたします。:-) Fri, 19 Jun 2009 08:42:42 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=146 セキュリティ情報
また、Ver 1.6.7 に存在したファイルをアップロードできない問題を Ver 1.6.7.1 にて修正しました。

該当のバージョンをお使いの方は、速やかにアップデートされることを強く奨励いたします。

* ダウンロード - PukiWikiMod 最新版
* アップデート用差分パック

なお、今回の脆弱性情報につきましては、JPCERT/CC および 情報処理推進機構 IPA を通して連絡を頂きました。

この脆弱性情報を報告していただいた方、情報処理推進機構 IPA、ならびに JPCERT/CC の各担当者様に感謝いたします。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=145 XCL-2.1.7正式版がリリースされました。 ニュースリリース(英語版) ダウンロード 例によってXCL-2.1.6からの差分パッケージも用意しました。 https://sourceforge.net/project/showfiles.php?group_id=200922&package_id=247348&release_id=674059 XCL-2.1.6からの差分パッケージですが、XCL-2.1.6a や XCL-2.1.7RC に対しても、そのまま上書きアップロードで行けます。 Sat, 23 May 2009 17:07:20 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=145 XOOPSコア情報
ニュースリリース(英語版)

ダウンロード

例によってXCL-2.1.6からの差分パッケージも用意しました。
https://sourceforge.net/project/showfiles.php?group_id=200922&package_id=...
XCL-2.1.6からの差分パッケージですが、XCL-2.1.6a や XCL-2.1.7RC に対しても、そのまま上書きアップロードで行けます。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=144 Plugg XOOPS Cubeモジュール版1.00リリースです。なお、本バージョンはベータ版としての位置づけです。 Pluggとは Pluggとはウェブアプリケーションプラットフォームです。管理画面よりプラグインと呼ばれる各種アプリケーションをインストールしていくことで様々な機能を追加することが可能です。Pluggでは簡単なJavascriptライブラリからフォーラムのような比較的大きめのアプリケーションまで、全てがプラグインとして構築されています。また、プラグイン間の連携が容易であるため、プラグイン同士で相互に機能を拡張したり補完したりすることが可能です。 Wed, 13 May 2009 23:08:52 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=144 モジュール情報
Pluggとは

Pluggとはウェブアプリケーションプラットフォームです。管理画面よりプラグインと呼ばれる各種アプリケーションをインストールしていくことで様々な機能を追加することが可能です。Pluggでは簡単なJavascriptライブラリからフォーラムのような比較的大きめのアプリケーションまで、全てがプラグインとして構築されています。また、プラグイン間の連携が容易であるため、プラグイン同士で相互に機能を拡張したり補完したりすることが可能です。Plugg XOOPS Cubeモジュール版はXOOPS Cubeのモジュールとして動作します。Plugg XOOPS Cubeモジュール版をXOOPS Cubeのモジュールとしてインストールすることで、Pluggの各種プラグインをXOOPS Cube上で動作させることが可能になります。

Pluggは現時点ではXOOPS Cubeのモジュールとしてのみの提供となりますが、今後はXOOPS、ImpressCMS、XOOPS Cubeの前身であるXOOPS JP、そしてXOOPS JPの拡張メンテナンス版であるXOOPS JPexのモジュールとしても提供していく予定です。また、XOOPS CubeやXOOPS等の本体CMSを必要とせず、Plugg単体で動作するPluggスタンドアローン版の開発も進めています。

Pluggの各プラグインは、Pluggが動作する環境であればコードの変更なしに様々なプラットフォーム上にインストールすることが可能です。つまり、各プラグインはハック等の必要なしにXOOPS Cube、XOOPS、ImpressCMS等のプラットフォームとなるCMSを問わずに動作させることが可能です。一度開発されたプラグインはPluggが動作する環境であれば改変の必要がないため、開発者にとっても大きなメリットになります。

少し長くなるのでインストール方法やダウンロード先に関しては下記の記事をご参考ください。

Plugg XOOPS Cubeモジュール版1.00リリース
http://xoopscube.jp/news/492]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=143 messageモジュールVer1.10以下に他人のメッセージが読めてしまう脆弱性が発見されました。 こちらで対策版を配布していますので利用している方は、 パッチを当てるかバージョンアップをしてください。 報告をしてくれた方、ありがとうございました。 Fri, 01 May 2009 10:47:39 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=143 セキュリティ情報 こちらで対策版を配布していますので利用している方は、
パッチを当てるかバージョンアップをしてください。

報告をしてくれた方、ありがとうございました。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=141 XCL-2.1.7の正式リリース候補、2.1.7RCが公開されています。 あくまでリリース「候補」なので、本番サイトに導入すべきものとはされていませんが、できれば、リリース前にいろいろな環境で試していただき、バグを出してくれると、開発者も利用者もみんな幸せになれると思います。 フルパッケージ(zip)はこちら。 https://sourceforge.net/project/showfiles.php?group_id=159211&package_id=230233&release_id=673663 今回も差分パッケージ(tar.gz)を用意してますので、よろしければどうぞ。 https://sourceforge.net/project/showfiles.php?group_id=200922&package_id=247348&release_id=674059 機能的な差分については、時間があればレポートします。 Tue, 07 Apr 2009 13:08:25 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=141 XOOPSコア情報
あくまでリリース「候補」なので、本番サイトに導入すべきものとはされていませんが、できれば、リリース前にいろいろな環境で試していただき、バグを出してくれると、開発者も利用者もみんな幸せになれると思います。

フルパッケージ(zip)はこちら。
https://sourceforge.net/project/showfiles.php?group_id=159211&package_id=...

今回も差分パッケージ(tar.gz)を用意してますので、よろしければどうぞ。
https://sourceforge.net/project/showfiles.php?group_id=200922&package_id=...

機能的な差分については、時間があればレポートします。差分などを上書きアップロードする際の注意点ですが、2.1.6のパッケージミスかなにかで存在しているファイルが、2.1.7RCでは削られています。

具体的には、extra_langaugeのfr_utf8関連とpt_utf8関連です。

増えたファイルは上書きアップロードでも対応できますが、減ったファイルは対応できませんので、これらの言語を利用しているなら、アップロードする前にいったん削除してください。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=140 XOOS JPExプロジェクトが、XOOPS JPExの最新版であるバージョン1.5をリリースしましたのでお知らせします。 バージョン1.5の主な変更点は、次のとおりです。 ◎ セキュリティ・アップデート ○ XOOPS Cube Legacy 2.1.6で見つかったXSS脆弱性の修正を反映 ◎ メンテナンス ○ その他細かな修正2点 - メインメニューを持たないモジュールも、ブロック管理、グループ管理の表示対象に追加 - デザイン調整 ◎ 不具合報告修正 ○ 不具合報告『UTF-8化+IE7でリダイレクトしなくなる』修正 ○ 不具合報告『Jpex1.4 管理者画面にて画像呼び出しエラー』修正 ○ 不具合報告『1.4の新規インストール（及び1.3からのアップデート）でFatal error』修正 不具合の報告やリクエストを受け付けておりますので、何かありましたらプロジェクトサイトに書き込んでください。 Thu, 02 Apr 2009 19:04:29 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=140 XOOPS関連ニュース XOOS JPExプロジェクトが、XOOPS JPExの最新版であるバージョン1.5をリリースしましたのでお知らせします。

バージョン1.5の主な変更点は、次のとおりです。
◎ セキュリティ・アップデート
○ XOOPS Cube Legacy 2.1.6で見つかったXSS脆弱性の修正を反映

◎ メンテナンス
○ その他細かな修正2点
- メインメニューを持たないモジュールも、ブロック管理、グループ管理の表示対象に追加
- デザイン調整

◎ 不具合報告修正
○ 不具合報告『UTF-8化+IE7でリダイレクトしなくなる』修正

○ 不具合報告『Jpex1.4 管理者画面にて画像呼び出しエラー』修正

○ 不具合報告『1.4の新規インストール（及び1.3からのアップデート）でFatal error』修正

不具合の報告やリクエストを受け付けておりますので、何かありましたらプロジェクトサイトに書き込んでください。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=139 XCL-2.1.6a がリリースされました。 これは、IPA#74747784 / JPCERT#95042060 で報告されたXSS脆弱性への対応です。 いわゆるXSSですから、危険度はまあそこそこです。 即座に外部から直接攻撃を受けるような緊急の穴ではないので、あわてず騒がずアップデートしてください。 https://sourceforge.net/project/showfiles.php?group_id=159211&package_id=230233&release_id=672823 今回は差分パッケージも公開されてます。 実質、５ファイルだけなので、上書きの手間も知れてるでしょう。 テンプレート関連では、管理画面テーマだけしか書き換わっていないので、上書き後のモジュールアップデートも不要です。 Thu, 02 Apr 2009 12:15:24 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=139 XOOPSコア情報 これは、IPA#74747784 / JPCERT#95042060 で報告されたXSS脆弱性への対応です。

いわゆるXSSですから、危険度はまあそこそこです。
即座に外部から直接攻撃を受けるような緊急の穴ではないので、あわてず騒がずアップデートしてください。

https://sourceforge.net/project/showfiles.php?group_id=159211&package_id=...

今回は差分パッケージも公開されてます。
実質、５ファイルだけなので、上書きの手間も知れてるでしょう。

テンプレート関連では、管理画面テーマだけしか書き換わっていないので、上書き後のモジュールアップデートも不要です。これも典型的なXSSなので、Protectorの「大きな傘anti-XSS」もバッチリ効きます。
そこさえ最初から有効にしてあれば、ほとんど問題にならないでしょう。

このオプションは、この手のXSSにはかなり有効なので、今後のためにも、そこはONにして運用されることをお勧めします。
（anti-SQL-Injectionもお勧めです）

なお、class/module.errorhandler.php だけはJPCERT関連ではありませんし、いわゆる脆弱性とはちょっと違いますが、潜在的な危険性なのでついでに潰しておいた、ということなのだと思われます。]]> http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=138 Yomiサーチ XOOPS Ver 0.89.1 以前のバージョンに、SQLインジェクションの脆弱性が見つかり、Ver 0.90 にて修正されました。 - Yomi Search XOOPS Ver 0.90 アップデート用も同じです。 お手数ですが、早急にアップデートされることを強く奨励いたします。 Thu, 05 Mar 2009 15:54:36 +0900 http://www.xugj.org/modules/bulletin/index.php?page=article&storyid=138 セキュリティ情報
- Yomi Search XOOPS Ver 0.90

アップデート用も同じです。

お手数ですが、早急にアップデートされることを強く奨励いたします。- 更新履歴
-- Change Log

今回の脆弱性は、Protectorモジュールがインストールされていて、「ID風変数の強制変換」が有効であれば、攻撃は防いでくれると思います。しかしながら、早めのアップデートを強く奨励いたします。]]>