|
||||||||||||||
| 投稿者 | メッセージ | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
藤咲 モデレーター  登録日: 2003.11.17 記事: 1169 所在地: 広島 |
日時: 2006.09.06 (水) 07:53 記事の件名: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて
 コアとプラグインに関わる形でのセキュリティ脆弱性の報告があり、報告者であるkosugiatkipsさんの協力の下、暫定対策として、脆弱性を解決するプラグインをリリースすることができました。 また、このプラグインで解消できない脆弱性を持つプラグインもあり、そちらに関してはプラグイン自体のアップデートが必要になります。 このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。 1.以下のプラグインのSQLインジェクション脆弱性。 ・NP_ShowBlogs ・NP_MultiBlogs ・NP_MultiTags ・NP_SC 2.NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。 現状で確認されているプラグインは以下の物です。 NP_ShowBlogs NP_MultiBlogs NP_MultiTags NP_TitleList 他。 特に2番に関しては、明記したプラグイン以外にも脆弱性がある場合がございます。 URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いいたします。 この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。 設定等は必要ありません。 いくつかの環境でテストを行い、不具合は確認されておりませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたら、フォーラムへご報告をいただきますようお願いいたします。 [追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。 3.以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。(NP_0PatchBlogidでは解決しません) ・NP_CustomURL http://shizuki.kinezumi.net/NP_CustomURL.html ・NP_Analyze http://japan.nucleuscms.org/bb/viewtopic.php?t=1626 今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。 報告から対策まで時間がかかり、ユーザーの皆様にはご心配をおかけしたことをお詫びいたします。 なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。 3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。 今回の脆弱性についての対策を追加したNulceusの新バージョンにつきましてはもう少しお時間をいただきますことをご了承ください。 9/6 0.2.3 初版リリース 9/8 0.2.5 TitleList、ExtraSkinにて発生する不具合のためアップデート
_________________ 藤咲 備忘録とかもろもろ http://fjsk.tk/ 最終編集者 藤咲 [ 2006.09.11 (月) 18:12 ], 編集回数 3 回 |
|||||||||||||
   |
||||||||||||||
|
kimitake 登録日: 2004.12.10 記事: 265 所在地: かるふぉるにあ |
日時: 2006.09.06 (水) 11:36 記事の件名:
下記プラグインに関しては、独自に修正されてますのでお知らせしておきます。 * NP_TitleList0.35.zip * NP_ShowBlogs2.01_forSubCategories.zip * NP_ShowBlogsByDate1.51_utf-8.zip * NP_ShowBlogsByDate1.51_euc-jp.zip ダウンロード先 サイケデリックビビアン Nucleusのプラグインユーザー様へ _________________ kimitake http://kimitakeblog.net |
|||||||||||||
 |
||||||||||||||
kosugiatkips 登録日: 2006.01.15 記事: 353 所在地: 金沢区 |
日時: 2006.09.09 (土) 15:25 記事の件名:
NP_ExtraSkinJPとの相性問題がいくつか報告されています。 最新版にして解決したケースや、そうでないケースもあるようです。 相性問題が発生するようでしたら、とりあえずNP_ExtraSkinJPを最新版にしてみてください。 その際、プラグインファイルだけでなく、extra.phpの更新。および、fancyにしている方はそれなりに最新の状態にしてみてください。 ※ダウンロードはwikiからお願いします。 最終編集者 kosugiatkips [ 2006.10.12 (木) 11:55 ], 編集回数 1 回 |
|||||||||||||
|
|
||||||||||||||
|
藤咲 モデレーター 登録日: 2003.11.17 記事: 1169 所在地: 広島 |
日時: 2006.09.09 (土) 22:42 記事の件名: 特定プラグインとの相性によるバージョンアップ
NP_TitleListにて月毎のアーカイブページへジャンプできない不具合 NP_ExtraSkinにてループが発生し、表示されないことがある不具合 を解消した0.2.5をリリースしました。 上記二つのプラグインを使用し、同じ不具合が出ている人は上記記事より再度ダウンロードし、 アップデートしてください。 上記プラグインを使用していない場合は問題ありませんので、アップデートの必要はありません。 _________________ 藤咲 備忘録とかもろもろ http://fjsk.tk/ |
|||||||||||||
|
|
||||||||||||||
|
kimitake 登録日: 2004.12.10 記事: 265 所在地: かるふぉるにあ |
日時: 2006.09.13 (水) 16:23 記事の件名:
NP_LatestWritebacks のセキュリティ上の不具合修正しました。 http://japan.nucleuscms.org/bb/viewtopic.php?p=14355#14355 _________________ kimitake http://kimitakeblog.net |
|||||||||||||
|
|
||||||||||||||
|
yu モデレーター 登録日: 2003.11.15 記事: 718 所在地: 神奈川 |
日時: 2006.09.18 (月) 21:33 記事の件名:
NP_IncludeEX のセキュリティ修正版を出しました。 利用してる方はこちらの再インストールをお願いします。 下記リンクからお願いします。 http://nucleus.datoka.jp/?itemid=863 (確認できた脆弱性は、NP_0PatchBlogidで修正可能なものではありましたが、こちらの上書きインストールをかならず行ってください) _________________ Nucleusだとか http://nucleus.datoka.jp/ |
|||||||||||||
|
|
||||||||||||||
|
jun モデレーター 登録日: 2004.02.07 記事: 346 |
日時: 2006.09.22 (金) 19:00 記事の件名:
セキュリティの脆弱性を指摘されたので先日緊急に自作プラグインのセキュリティを強化いたしましたが、再び対応不足との指摘を受けました。これ以上対応できる状況にないので、下記に掲げるプラグインをご使用の方は即座に使用を中止してください。 また、全自作プラグインはGPLのライセンスで配布しているので、再配布について制限をつけることはできませんが、セキュリティの脆弱性が原因でプラグインの配布を取りやめた以上、下記プラグインの再配布についてはご遠慮いただきたく存じます。もちろん、下記に掲げるプラグインのセキュリティホールをふさいだ改変バージョンについては、GPLのライセンスの下で配布することは可能です。 ご迷惑をおかけしますが、よろしくお願い申し上げます。(2006-09-22) ●NP_MultiBlogs http://japan.nucleuscms.org/bb/viewtopic.php?t=515 ●NP_TopBlogs http://japan.nucleuscms.org/bb/viewtopic.php?t=1868 ●NP_Fix http://nucleus.mz-style.com/item/468 ●NP_SearchEX http://japan.nucleuscms.org/bb/viewtopic.php?t=483 ●NP_CT http://nucleus.mz-style.com/item/677 ●NP_SC http://japan.nucleuscms.org/bb/viewtopic.php?t=2224 ●NP_Word http://japan.nucleuscms.org/bb/viewtopic.php?t=747 ●NP_MemberControl http://japan.nucleuscms.org/bb/viewtopic.php?t=1514 ●NP_Database http://japan.nucleuscms.org/bb/viewtopic.php?t=1603 ●NP_View http://japan.nucleuscms.org/bb/viewtopic.php?t=709 ●NP_Analyze http://japan.nucleuscms.org/bb/viewtopic.php?t=1626 ●NP_CreateAccount http://japan.nucleuscms.org/bb/viewtopic.php?t=1183 ●NP_Mobile http://nucleus.mz-style.com/item/592 ●NP_MultiTags http://japan.nucleuscms.org/bb/viewtopic.php?t=1798 ●NP_Group http://japan.nucleuscms.org/bb/viewtopic.php?t=462 ●NP_Commerce http://japan.nucleuscms.org/bb/viewtopic.php?t=1143 |
|||||||||||||
|
|
||||||||||||||
|
Andy モデレーター 登録日: 2004.03.18 記事: 1490 所在地: 横浜 |
日時: 2006.09.25 (月) 18:20 記事の件名:
拙作のプラグインの中でNucBBとMapBlogにセキュリティホールを見つけました。 NP_0PatchBlogidでは解決しないので,ユーザーの方は至急最新版に差し替えてください。 ご迷惑をおかけしますが,よろしくお願いします。 NP_MapBlog http://japan.nucleuscms.org/bb/viewtopic.php?p=14474#14474 NP_NucBB http://japan.nucleuscms.org/bb/viewtopic.php?t=1081&start=0 _________________ Foodyn CMS開発日誌 http://www.matsubarafamily.com/lab/ |
|||||||||||||
|
|
||||||||||||||
|
nakahara21 モデレーター 登録日: 2003.11.14 記事: 1298 所在地: 尼崎 |
日時: 2006.09.25 (月) 23:48 記事の件名:
今回のセキュリティ脆弱性を解決した、NP_ShowBlogsのv2.6の配布を開始しました。 http://nakahara21.com/index.php?itemid=671 よりダウンロードをお願いします。 サーバファイルの差し替えだけでOKです。 _________________ nakahara21 http://nakahara21.com/ *移転しています |
|||||||||||||
|
|
||||||||||||||
|
yu モデレーター 登録日: 2003.11.15 記事: 718 所在地: 神奈川 |
日時: 2006.09.27 (水) 14:18 記事の件名:
プラグインのセキュリティ修正情報です。 NP_IncludeEX Ver0.32 (前回の修正ではまだ十分ではありませんでした  )
NP_LinkCounter Ver0.31  お手数ですが、ご利用の方はアップグレードをお願いします。
_________________ Nucleusだとか http://nucleus.datoka.jp/ |
|||||||||||||
|
|
||||||||||||||
|
Andy モデレーター 登録日: 2004.03.18 記事: 1490 所在地: 横浜 |
日時: 2006.09.28 (木) 21:31 記事の件名:
小出しですみません。NP_GoogleMapsにもわずかながら危険があることが分かりました。 差し替えをお願いします。 http://japan.nucleuscms.org/bb/viewtopic.php?t=1370&start=119 _________________ Foodyn CMS開発日誌 http://www.matsubarafamily.com/lab/ |
|||||||||||||
|
|
||||||||||||||
|
hsur モデレーター 登録日: 2004.05.03 記事: 222 所在地: 東京都 |
日時: 2006.09.30 (土) 02:05 記事の件名:
私のリリースしているプラグインについてもセキュリティのアップデートを行いました。 NP_MetaTags v1.5 NP_TrackBack v2.0.3jp6 NP_Clap v1.2 NP_SimilaritySearch v1.2 NP_TypeKey v1.2 NP_Paint v1.13 NP_Moblog v1.15 セキュリティ問題とは別件ですがBlacklistも新しいものをリリースしています NP_Blacklist 0.98 jp8 _________________ hsur cles::blog http://blog.cles.jp/ NP_cles() http://blog.cles.jp/np_cles/ |
|||||||||||||
|
|
||||||||||||||
|
yu モデレーター 登録日: 2003.11.15 記事: 718 所在地: 神奈川 |
日時: 2006.10.03 (火) 13:58 記事の件名:
またまたプラグインのセキュリティ修正情報です。 NP_LinkList Ver0.53 NP_TodoList Ver0.42 ご利用の方はお手数ですがアップデートをお願いします。
_________________ Nucleusだとか http://nucleus.datoka.jp/ |
|||||||||||||
|
|
||||||||||||||
|
yu モデレーター 登録日: 2003.11.15 記事: 718 所在地: 神奈川 |
日時: 2006.11.23 (木) 00:03 記事の件名:
念のため、こちらにもセキュリティ修正版のアナウンスです。 ご利用の方はお手数ですが更新をお願いします。 NP_LinkCounter Ver0.32 NP_LinkList Ver0.6 ※wikiにも反映してあります http://japan.nucleuscms.org/wiki/ _________________ Nucleusだとか http://nucleus.datoka.jp/ |
|||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
All times are GMT + 9 Hours
新規投稿: 不可 Powered by phpBB © 2001, 2002 phpBB Group |
||||||||||||||
