Nucleus(JP)フォーラム :: トピックを表示 - プラグインとコアの脆弱性を解決するプラグイン(NP

前のトピックを表示 :: 次のトピックを表示
投稿者	メッセージ
藤咲モデレーター登録日: 2003.11.17 記事: 1164 所在地: 広島	日時: 2006.09.06 (水) 07:55 記事の件名: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて Nucleusコアとプラグインに関わる形でのセキュリティ脆弱性の報告があり、報告者であるkosugiatkipsさんの協力の下、暫定対策として、脆弱性を解決するプラグインをリリースすることができました。以下よりダウンロードを行い、導入をお願いいたします。・NP_0PatchBlogid また、このプラグインで解消できない脆弱性を持つプラグインもあり、そちらに関してはプラグイン自体のアップデートが必要になります。このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。１．以下のプラグインのSQLインジェクション脆弱性。・NP_ShowBlogs ・NP_MultiBlogs ・NP_MultiTags ・NP_SC ２．NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。現状で確認されているプラグインは以下の物です。 NP_ShowBlogs NP_MultiBlogs NP_MultiTags NP_TitleList 他。特に２番に関しては、明記したプラグイン以外にも脆弱性がある場合がございます。 URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いいたします。この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。設定等は必要ありません。いくつかの環境でテストを行い、不具合は確認されておりませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたら、フォーラムへご報告をいただきますようお願いいたします。 [追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。３．以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。（NP_0PatchBlogidでは解決しません）・NP_CustomURL 　http://shizuki.kinezumi.net/NP_CustomURL.html ・NP_Analyze 　http://japan.nucleuscms.org/bb/viewtopic.php?t=1626 今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。報告から対策まで時間がかかり、ユーザーの皆様にはご心配をおかけしたことをお詫びいたします。なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。 3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。今回の脆弱性についての対策を追加したNulceusの新バージョンにつきましてはもう少しお時間をいただきますことをご了承ください。 _________________ 藤咲備忘録とかもろもろ http://fjsk.tk/
トップに戻る
特定期間内の記事を表示:
Nucleus(JP)フォーラム Forum Index -> フォーラムからのお知らせ -> プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて
Page 1 of 1 All times are GMT + 9 Hours 移動先: 新規投稿: 不可返信投稿: 可記事編集: 不可記事削除: 不可投票参加: 不可ファイル添付不可ダウンロード不可 Powered by phpBB © 2001, 2002 phpBB Group

前のトピックを表示 :: 次のトピックを表示

投稿者

メッセージ

藤咲
モデレーター

登録日: 2003.11.17
記事: 1164
所在地: 広島

日時: 2006.09.06 (水) 07:55 記事の件名: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

Nucleusコアとプラグインに関わる形でのセキュリティ脆弱性の報告があり、報告者であるkosugiatkipsさんの協力の下、暫定対策として、脆弱性を解決するプラグインをリリースすることができました。
以下よりダウンロードを行い、導入をお願いいたします。
・NP_0PatchBlogid
また、このプラグインで解消できない脆弱性を持つプラグインもあり、そちらに関してはプラグイン自体のアップデートが必要になります。

このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。
１．以下のプラグインのSQLインジェクション脆弱性。
・NP_ShowBlogs
・NP_MultiBlogs
・NP_MultiTags
・NP_SC

２．NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。
現状で確認されているプラグインは以下の物です。
NP_ShowBlogs
NP_MultiBlogs
NP_MultiTags
NP_TitleList
他。

特に２番に関しては、明記したプラグイン以外にも脆弱性がある場合がございます。
URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いいたします。

この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。
設定等は必要ありません。
いくつかの環境でテストを行い、不具合は確認されておりませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたら、フォーラムへご報告をいただきますようお願いいたします。

[追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。

３．以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。（NP_0PatchBlogidでは解決しません）
・NP_CustomURL
　http://shizuki.kinezumi.net/NP_CustomURL.html
・NP_Analyze
　http://japan.nucleuscms.org/bb/viewtopic.php?t=1626

今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。

報告から対策まで時間がかかり、ユーザーの皆様にはご心配をおかけしたことをお詫びいたします。
なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。
3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。

今回の脆弱性についての対策を追加したNulceusの新バージョンにつきましてはもう少しお時間をいただきますことをご了承ください。
_________________
藤咲
備忘録とかもろもろ
http://fjsk.tk/

トップに戻る

Nucleus(JP)フォーラム Forum Index -> フォーラムからのお知らせ -> プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

Page 1 of 1

All times are GMT + 9 Hours

新規投稿: 不可
返信投稿: 可
記事編集: 不可
記事削除: 不可
投票参加: 不可
ファイル添付不可
ダウンロード不可