|
||||||||||||||||||||||||||||||||||||||||
| 投稿者 | メッセージ | |||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Katsumi モデレーター  登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.26 (日) 08:30 記事の件名: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて
 【重要】新バージョンをリリースしました(2006-12-7)。特に,NP_Analyzeをインストールしているユーザーは重大な脆弱性があるので,このバージョンを必ずインストールしてください。また,管理画面を持つプラグインの場合,アンインストールしていてもファイルを消していない場合,脆弱性はなくなりません。このバージョンはその場合にも対応しますので,全ユーザーにインストールすることを強くお勧めします。 Nucleusの幾つかのプラグインに脆弱性が発見されました。Nucleus(JP)チームでは、この脆弱性を解決するためのプラグインNP_0TicketForPluginを用意いたしましたので、リリースいたします。 プラグインオプション変更ページ以外に独自の管理ページを持つ物に、この脆弱性が存在する場合があります。 悪意のある第三者がこの脆弱性を利用するには、Super-admin権限もしくはブログ管理権限のあるユーザを悪意のあるWebページに誘導する必要があるため、危険度は高くはありません。しかし、もしこの脆弱性をつかれた場合にサイトを完全にコントロールされてしまう可能性もあります。 この脆弱性は、以下のプラグインを利用しているすべてのNucleus(2006年11月現在の最新版、3.24及び、それ以前のバージョン)に関係します。他にも、独自の管理ページを持つプラグインに同様の脆弱性が存在する可能性が在ります。 NP_MediaFiles NP_Database NP_Analyze NP_MemberControl NP_MultiTags NP_Trackback NP_Blacklist NP_Clap NP_Paint NP_ImpExp NP_MultipleCategories NP_ContentsList NP_ExtraSkinJP NP_SkinSwitcher NP_CT NP_LinkList 0.53 NP_AWS これらのうち、NP_0TicketForPluginのインストールで脆弱性が解決できるプラグインは以下の通りです。 NP_MediaFiles NP_Database NP_Analyze NP_MemberControl NP_MultiTags NP_ContentsList (追記:一部解決できない機能があります。対処版をダウンロードしてください。) NP_ExtraSkinJP (追記:一部解決できない機能があります。対処版をダウンロードしてください。) 以下のプラグインについては、この脆弱性を解決した最新版がすでに公表されているか近日中に公表されますので、それらの最新版を入手してインストールしてください。 NP_Trackback NP_Blacklist NP_Clap NP_Moblog NP_Paint NP_ImpExp NP_MultipleCategories NP_SkinSwitcher NP_CT NP_LinkList 0.53 NP_AWS (追記) バージョンを、1.1 に上げたものをアップしました。バージョン1.0 では一部のプラグインで管理画面が使えない(Expired Ticket と表示され、次に進めない)場合と、サーバとして IIS を用いている場合にのみ、1.1 にアップグレードしてください。このいずれにも相当しない場合(Apache を用いていて、1.0 で問題ない場合)は、1.0 のままでかまいません。 (追記) 現在の最新バージョンは、1.2.8.1a です。Nucleus ご使用のすべての方に、このバージョンのインストールを強くお勧めします。
最終編集者 Katsumi [ 2008.12.12 (金) 07:34 ], 編集回数 12 回 |
|||||||||||||||||||||||||||||||||||||||
   |
||||||||||||||||||||||||||||||||||||||||
|
サクラキャンドル 登録日: 2004.08.25 記事: 140 |
日時: 2006.11.26 (日) 09:06 記事の件名:
すいません、緊急だと思うのでいくつか質問させてください。 >>以下のプラグインを利用しているすべてのNucleusに関係 とありますが、現在の最新版Nucleusにおいてであり、将来的にはNucleus本体に修正がとりこまれますよね? 現在の最新Nucleusのバージョンを一緒に書いておいた方がよいと思います。 また、0PatchBlogidの場合はインストールすると自動的にプラグインリストの一番上に移動しましたが、このプラグインの場合は移動しません。これは、プラグインのインストールの順番は関係ないと考えてよろしいですね? _________________ サクラふぁーむ http://juntwo.s57.xrea.com/ 農場主の日常(管理人blog) 下記URLに移転中 http://sakurafarm.happy.nu/ |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.26 (日) 09:17 記事の件名:
おっしゃるとおりです。2006年11月現在の最新版(3.24)及び、それ以前のNucleusに関係します。また、おそらくver 3.3で同様の機能がコアに導入されることになると思います。
はい、関係ないです。このプラグインはNP_0PatchBlogidと違い、インストールさえされていればプラグインリストのどこにあっても機能します。 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.26 (日) 10:42 記事の件名:
以下のプラグインについては、NP_0TicketForPluginのインストールに加えて、それぞれのリンク先から最新版をダウンロードして、インストールしてください。 NP_SkinSwitcher NP_AWS |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
hsur モデレーター 登録日: 2004.05.03 記事: 222 所在地: 東京都 |
日時: 2006.11.26 (日) 17:11 記事の件名:
私がメンテナンスをしているプラグインについて、アップデート版の提供を開始しました。 NP_0TicketForPluginで対策できるものもありますが、最新版へのアップデートを推奨します。 NP_Trackback ※NP_0TicketForPluginで対策できない脆弱性を含んでいます ・http://japan.nucleuscms.org/bb/viewtopic.php?p=15364#15364 ・http://blog.cles.jp/item/1729 NP_Blacklist(NP_0TicketForPluginで対策可) ・http://japan.nucleuscms.org/bb/viewtopic.php?p=15365#15365 ・http://blog.cles.jp/item/1730 NP_Clap(NP_0TicketForPluginで対策可) ・http://japan.nucleuscms.org/bb/viewtopic.php?p=15366#15366 ・http://blog.cles.jp/item/1731 NP_Paint(NP_0TicketForPluginで対策可) ・http://japan.nucleuscms.org/bb/viewtopic.php?p=15367#15367 ・http://blog.cles.jp/item/1732 NP_ImpExp(NP_0TicketForPluginで対策可) ・http://japan.nucleuscms.org/bb/viewtopic.php?p=15368#15368 ・http://blog.cles.jp/item/1733 NP_Moblog ・脆弱性はありませんのでアップデートの必要はありません。 _________________ hsur cles::blog http://blog.cles.jp/ NP_cles() http://blog.cles.jp/np_cles/ |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
佐藤(な) モデレーター  登録日: 2005.09.12 記事: 262 所在地: 愛知の知多半島の田舎 |
日時: 2006.11.26 (日) 21:31 記事の件名:
NP_MultipleCategories 対策版ver0.5j をアップしました。ダウンロードは下記ページよりお願いします。 http://japan.nucleuscms.org/bb/viewtopic.php?p=15371 NP_0TicketForPluginで対策できますが、アップデートをお勧めします。 <追記>申し訳ございません、NP_0TicketForPlugin で解消されません。対策にはプラグインのアップデートが必要です。</追記> _________________ 各種プラグインを紹介するblog(鯖更新忘れ死亡中) スキン・テンプレ変数を紹介するブログ(復活) http://reference.nucleus.satona.net/ wa - Nucleusやウェブネタなど http://wa.otesei.com/ |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
佐藤(な) モデレーター 登録日: 2005.09.12 記事: 262 所在地: 愛知の知多半島の田舎 |
日時: 2006.11.27 (月) 12:35 記事の件名:
NP_MultipleCategories サブカテゴリ無限階層非対応版 ver0.3xj系 もアップしました。ダウンロードは、同じく下記ページよりお願いします。 http://japan.nucleuscms.org/bb/viewtopic.php?p=15371 _________________ 各種プラグインを紹介するblog(鯖更新忘れ死亡中) スキン・テンプレ変数を紹介するブログ(復活) http://reference.nucleus.satona.net/ wa - Nucleusやウェブネタなど http://wa.otesei.com/ |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.27 (月) 13:03 記事の件名: ContentsListについて
NP_ContentsListについて、一部の機能が NP_0TicketForPlugin で対処できないことが判明しました。このプラグインについては、このフォーラムの該当記事から最新版を入手し、NP_0TicketForPluginと組み合わせて使用してください。 また、同様に、NP_ExtraSkinJP についても一部の機能がNP_0TicketForPlugin で対処できないことが分かっています。これについても、早急に修正情報を出しますので、今しばらくお待ちください。 ご迷惑をおかけします。 (2006-12-06 追記) 管理画面の脆弱性について、自身ですべてのticket処理を行うようにしたバージョンをアップしました。ご使用の方は、アップグレードをお願いします。 最終編集者 Katsumi [ 2006.12.07 (木) 12:40 ], 編集回数 1 回 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.27 (月) 13:31 記事の件名: ExtraSkinJPについて
NP_ExtraSkinJP については、フォーラムのこの記事から最新版を入手して、インストールしてください。NP_0TicketForPlugin との併用が必要です。 (2006-12-06 追記) 管理画面の脆弱性について、自身ですべてのticket処理を行うようにしたバージョンをアップしました。ご使用の方は、アップグレードをお願いします。 最終編集者 Katsumi [ 2006.12.07 (木) 12:41 ], 編集回数 1 回 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
PUSHMAN 登録日: 2004.08.15 記事: 56 |
日時: 2006.11.27 (月) 15:44 記事の件名:
対策ならびにアップデートありがとうございます。動作報告させていただきます。 今回の脆弱性が該当するプラグインのうち「NP_MediaFiles」「NP_Trackback」「NP_ContentsList」を利用しています。また標準でインストール済みの「NP_SkinFiles」も利用しています。Nucleus本体も最新版の3.24を使用しています。 「NP_0TicketForPlugin」導入後、上記プラグインすべての各管理画面は問題なく表示できるのですが、そこから各項目を編集しようとすると「Invalid or expired ticket.」というエラーメッセージが表示されます。「NP_TrackBack」は最新版をインストールすることで解決しましたが、残りのプラグインは最新版を導入しても改善できませんでした。 インストール後、なにか特別すべきことがあるのでしょうか? |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.27 (月) 17:49 記事の件名:
報告をどうもありがとうございます。NP_0TicketForPlugin は、JavaScript の機能を利用して管理画面を保護しています。ですので、もしJavaScript が無効になっていると、管理画面には入れるけれども、編集が出来ないという状況になります。お使いのブラウザで Nucleus を利用しているサイトについて JavaScript が有効になっていますでしょうか? |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
PUSHMAN 登録日: 2004.08.15 記事: 56 |
日時: 2006.11.27 (月) 18:17 記事の件名:
ご返信ありがとうございます。 JavaScriptは有効にしています。使用環境Mac OS X 10.4.8、ブラウザはSafari 2.0.4です。 FireFoxでログインしてみましたが、結果は同じでした。ならばとWindows IE、FireFoxでも試しましたが、こちらもダメです。 サブドメインで運用しているのですが、cookieの設定は関係ありますでしょうか? |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.28 (火) 06:05 記事の件名:
cookie の設定は、関係ないはずです。この件の対処については、今しばらく時間をください。もしプラグインの管理画面を使用する必要があれば、いったん NP_0TicketForPlugin をアンインストールし、プラグイン管理画面で操作を行った後に、Nucleus からログアウトしてください。ログアウトしている間は、この脆弱性は出ません。なお、このケースだと、NP_ContentsList と、NP_ExtraSkinJP は、対処する前のバージョンを使用する必要があります。 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.28 (火) 09:13 記事の件名: バージョン 1.1
バージョン 1.1 をアップしました。 サーバとして IIS をお使いの方は、申し訳ありませんが 1.1 にアップグレードしてください。Apache や類似のサーバの場合(具体的には、$_SERVER['REQUEST_URI'] が使えるケース)は 1.0 のままで大丈夫です。 また、PUSHMAN さんのように、一部のプラグインで管理画面が使えないケースにも対応していると思いますので、アップグレード版をお試しください。場合によっては、設定を編集する場合に3回ボタンを押さないといけないケースもあると思います。すべてのプラグインで NP_TrackBack の例のように今までどおり使えるようになるまで、しばらくの間ご辛抱いただければと思います。 ご迷惑をおかけしますが、よろしくお願いします。 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
PUSHMAN 登録日: 2004.08.15 記事: 56 |
日時: 2006.11.30 (木) 12:07 記事の件名:
ご対応ありがとうございます。 無事編集できるようになりました。 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.11.30 (木) 14:14 記事の件名: NP_MediaFiles
NP_MediaFiles について管理画面の脆弱性を解消したバージョン、1.01.8 をアップしました。以前のバージョンでもNP_0TicketForPluginで対処可能ですが、新しいバージョンにアップグレードすることを推奨します。
最終編集者 Katsumi [ 2006.12.08 (金) 09:25 ], 編集回数 1 回 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Katsumi モデレーター 登録日: 2005.06.24 記事: 632 所在地: CA |
日時: 2006.12.01 (金) 15:57 記事の件名: NP_Database アップグレード
NP_Database に関して、NP_0TicketForPlugin に頼らずに管理画面の脆弱性を解消したバージョンをアップしました。 NP_0TicketForPluginでも今回発見された脆弱性は回避できますが、新しいバージョンはさらに強固なセキュリティーになっています。ご使用の方はアップグレードをお願いします。 追記: 最初、jun さんの NP_Database の最新バージョンを間違えて改変してしまっていました。現在は、最新版(jun さんの0.20)に管理画面のセキュリティーを向上させたものになっていますので、必要な方は再ダウンロードしてください。12/7 現在の最新版は、0.26 です。 http://japan.nucleuscms.org/bb/viewtopic.php?p=15638#15638 最終編集者 Katsumi [ 2006.12.08 (金) 09:26 ], 編集回数 1 回 |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
Andy モデレーター 登録日: 2004.03.18 記事: 1490 所在地: 横浜 |
日時: 2006.12.07 (木) 14:51 記事の件名:
NP_Analyzeに重大な脆弱性が発見されました。ログインしていないユーザーに操作されてしまう恐れがあります。この脆弱性を解消するにはNP_0TicketForPluginの最新版(1.2.8.1a)をインストールしてください。 また,NP_Analyzeに限らず,「管理画面に脆弱性があるプラグインの危険を避けるためアンインストールしている」ケースがあると思いますが,プラグインの管理画面はアンインストールした状態でも呼び出し可能なため,ファイル自体削除しないと脆弱性は回避できません。NP_0TicketForPlugin最新版はこの問題にも対応しています。 独自の管理画面を持つプラグインを使用している全ユーザーにインストールを強くお勧めします。 _________________ Foodyn CMS開発日誌 http://www.matsubarafamily.com/lab/ |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
未登録ユーザー |
日時: 2006.12.10 (日) 09:22 記事の件名:
NP_0TicketForPluginの最新版(1.2.8.1a)をインストールしましたが、こういう使い方はできなくなりましたでしょうか? うちのサイトでは、NP_Pholiotを改造して使用しています。 NP_Pholiotoは、pholiot.swfが表示する画像を表示するためのxmlファイルを生成しますが、このxmlファイルを直接生成せず、.htaccsesでの指定で、あるフォルダの index.php&blogid=x にアクセスするようにしています。 つまり、フラッシュファイルから、Nucleusのブログにアクセスする形ですが、新しいバージョンをインストールすると、そのxmlファイルにアクセスすることができなくなりました。 こういう使い方は、セキュリティ上問題がある運用だったということでしょうか? |
|||||||||||||||||||||||||||||||||||||||
|
サクラキャンドル 登録日: 2004.08.25 記事: 140 |
日時: 2006.12.10 (日) 09:25 記事の件名:
すいません、ログインしないで投稿して、編集できませんでした。
これは、 ------- NP_Pholiotoは、pholiot.swfが表示する画像を表示するためのxmlファイルを生成しますが、このxmlファイルを直接生成せず、.htaccsesでの指定で、あるフォルダの index.php&blogid=x にアクセスするように改造しています。 ------- の誤りです。改造無しのNP_Pholioioでは、この問題は発生しないはずです。 _________________ サクラふぁーむ http://juntwo.s57.xrea.com/ 農場主の日常(管理人blog) 下記URLに移転中 http://sakurafarm.happy.nu/ |
|||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||
|
All times are GMT + 9 Hours
新規投稿: 不可 Powered by phpBB © 2001, 2002 phpBB Group |
||||||||||||||||||||||||||||||||||||||||
