Nucleus(JP)フォーラム

NucleusCMS日本語版ユーザーのためのサポートフォーラムです。疑問が生じたらまずは記事検索をご利用ください。

ログインしていません。

#1 2006-09-06 07:53:22

藤咲
Administrator
From: 広島
登録日: 2003-11-17
投稿: 1,208
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

コアとプラグインに関わる形でのセキュリティ脆弱性の報告があり、報告者であるkosugiatkipsさんの協力の下、暫定対策として、脆弱性を解決するプラグインをリリースすることができました。

また、このプラグインで解消できない脆弱性を持つプラグインもあり、そちらに関してはプラグイン自体のアップデートが必要になります。

このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。
1.以下のプラグインのSQLインジェクション脆弱性。
・NP_ShowBlogs
・NP_MultiBlogs
・NP_MultiTags
・NP_SC

2.NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。
現状で確認されているプラグインは以下の物です。
NP_ShowBlogs
NP_MultiBlogs
NP_MultiTags
NP_TitleList
他。

特に2番に関しては、明記したプラグイン以外にも脆弱性がある場合がございます。
URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いいたします。

この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。
設定等は必要ありません。
いくつかの環境でテストを行い、不具合は確認されておりませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたら、フォーラムへご報告をいただきますようお願いいたします。

[追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。

3.以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。(NP_0PatchBlogidでは解決しません)
・NP_CustomURL
http://shizuki.kinezumi.net/NP_CustomURL.html
・NP_Analyze
http://japan.nucleuscms.org/bb/viewtopic.php?t=1626

今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。

報告から対策まで時間がかかり、ユーザーの皆様にはご心配をおかけしたことをお詫びいたします。
なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。
3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。

今回の脆弱性についての対策を追加したNulceusの新バージョンにつきましてはもう少しお時間をいただきますことをご了承ください。

9/6 0.2.3 初版リリース
9/8 0.2.5 TitleList、ExtraSkinにて発生する不具合のためアップデート


Attachments:
zip NP_0PatchBlogid.zip, Size: 2.49 KiB, Downloads: 5,524

藤咲
備忘録とかもろもろ
http://fjsk.tk/

オフライン

#2 2006-09-06 11:36:53

kimitake
メンバー
From: かるふぉるにあ
登録日: 2004-12-10
投稿: 266
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

下記プラグインに関しては、独自に修正されてますのでお知らせしておきます。

    * NP_TitleList0.35.zip
    * NP_ShowBlogs2.01_forSubCategories.zip
    * NP_ShowBlogsByDate1.51_utf-8.zip
    * NP_ShowBlogsByDate1.51_euc-jp.zip

ダウンロード先
[url=http://vivian.reverb.jp/for_nucleus_user.html]サイケデリックビビアン
Nucleusのプラグインユーザー様へ[/url]

オフライン

#3 2006-09-09 15:25:09

kosugiatkips
メンバー
From: 金沢区
登録日: 2006-01-15
投稿: 353

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

NP_ExtraSkinJPとの相性問題がいくつか報告されています。

最新版にして解決したケースや、そうでないケースもあるようです。

相性問題が発生するようでしたら、とりあえずNP_ExtraSkinJPを最新版にしてみてください。
その際、プラグインファイルだけでなく、extra.phpの更新。および、fancyにしている方はそれなりに最新の状態にしてみてください。

※ダウンロードはwikiからお願いします。

オフライン

#4 2006-09-09 22:42:44

藤咲
Administrator
From: 広島
登録日: 2003-11-17
投稿: 1,208
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

NP_TitleListにて月毎のアーカイブページへジャンプできない不具合
NP_ExtraSkinにてループが発生し、表示されないことがある不具合
を解消した0.2.5をリリースしました。
上記二つのプラグインを使用し、同じ不具合が出ている人は上記記事より再度ダウンロードし、
アップデートしてください。

上記プラグインを使用していない場合は問題ありませんので、アップデートの必要はありません。


藤咲
備忘録とかもろもろ
http://fjsk.tk/

オフライン

#5 2006-09-13 16:23:17

kimitake
メンバー
From: かるふぉるにあ
登録日: 2004-12-10
投稿: 266
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

NP_LatestWritebacks のセキュリティ上の不具合修正しました。
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?p=14355#14355">viewtopic.php?p=14355#14355</a><!-- l -->

オフライン

#6 2006-09-18 21:33:49

yu
メンバー
From: 神奈川
登録日: 2003-11-15
投稿: 718
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

NP_IncludeEX のセキュリティ修正版を出しました。
利用してる方はこちらの再インストールをお願いします。
下記リンクからお願いします。
http://nucleus.datoka.jp/?itemid=863

(確認できた脆弱性は、NP_0PatchBlogidで修正可能なものではありましたが、こちらの上書きインストールをかならず行ってください)


Nucleusだとか
http://nucleus.datoka.jp/

オフライン

#7 2006-09-22 19:00:26

jun
メンバー
登録日: 2004-02-07
投稿: 345

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

セキュリティの脆弱性を指摘されたので先日緊急に自作プラグインのセキュリティを強化いたしましたが、再び対応不足との指摘を受けました。これ以上対応できる状況にないので、下記に掲げるプラグインをご使用の方は即座に使用を中止してください。
また、全自作プラグインはGPLのライセンスで配布しているので、再配布について制限をつけることはできませんが、セキュリティの脆弱性が原因でプラグインの配布を取りやめた以上、下記プラグインの再配布についてはご遠慮いただきたく存じます。もちろん、下記に掲げるプラグインのセキュリティホールをふさいだ改変バージョンについては、GPLのライセンスの下で配布することは可能です。
ご迷惑をおかけしますが、よろしくお願い申し上げます。(2006-09-22)

●NP_MultiBlogs
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=515">viewtopic.php?t=515</a><!-- l -->
●NP_TopBlogs
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1868">viewtopic.php?t=1868</a><!-- l -->
●NP_Fix
http://nucleus.mz-style.com/item/468
●NP_SearchEX
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=483">viewtopic.php?t=483</a><!-- l -->
●NP_CT
http://nucleus.mz-style.com/item/677
●NP_SC
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=2224">viewtopic.php?t=2224</a><!-- l -->
●NP_Word
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=747">viewtopic.php?t=747</a><!-- l -->
●NP_MemberControl
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1514">viewtopic.php?t=1514</a><!-- l -->
●NP_Database
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1603">viewtopic.php?t=1603</a><!-- l -->
●NP_View
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=709">viewtopic.php?t=709</a><!-- l -->
●NP_Analyze
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1626">viewtopic.php?t=1626</a><!-- l -->
●NP_CreateAccount
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1183">viewtopic.php?t=1183</a><!-- l -->
●NP_Mobile
http://nucleus.mz-style.com/item/592
●NP_MultiTags
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1798">viewtopic.php?t=1798</a><!-- l -->
●NP_Group
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=462">viewtopic.php?t=462</a><!-- l -->
●NP_Commerce
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1143">viewtopic.php?t=1143</a><!-- l -->

オフライン

#8 2006-09-25 18:20:17

Andy
メンバー
登録日: 2004-03-18
投稿: 1,495
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

拙作のプラグインの中でNucBBとMapBlogにセキュリティホールを見つけました。
NP_0PatchBlogidでは解決しないので,ユーザーの方は至急最新版に差し替えてください。
ご迷惑をおかけしますが,よろしくお願いします。

NP_MapBlog
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?p=14474#14474">viewtopic.php?p=14474#14474</a><!-- l -->
NP_NucBB
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1081&start=0">viewtopic.php?t=1081&start=0</a><!-- l -->

オフライン

#9 2006-09-25 23:48:11

nakahara21
メンバー
From: 尼崎
登録日: 2003-11-14
投稿: 1,298
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

今回のセキュリティ脆弱性を解決した、NP_ShowBlogsのv2.6の配布を開始しました。

http://nakahara21.com/index.php?itemid=671

よりダウンロードをお願いします。
サーバファイルの差し替えだけでOKです。


nakahara21
http://nakahara21.com/
(ただいま調整中です)

オフライン

#10 2006-09-27 14:18:00

yu
メンバー
From: 神奈川
登録日: 2003-11-15
投稿: 718
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

プラグインのセキュリティ修正情報です。

NP_IncludeEX Ver0.32 (前回の修正ではまだ十分ではありませんでした :cry: )
NP_LinkCounter Ver0.31

:idea: お手数ですが、ご利用の方はアップグレードをお願いします。


Nucleusだとか
http://nucleus.datoka.jp/

オフライン

#11 2006-09-28 21:31:35

Andy
メンバー
登録日: 2004-03-18
投稿: 1,495
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

小出しですみません。NP_GoogleMapsにもわずかながら危険があることが分かりました。
差し替えをお願いします。
<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?t=1370&start=119">viewtopic.php?t=1370&start=119</a><!-- l -->

オフライン

#12 2006-09-30 02:05:03

hsur
メンバー
From: 東京都
登録日: 2004-05-03
投稿: 230
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

私のリリースしているプラグインについてもセキュリティのアップデートを行いました。
NP_MetaTags v1.5
NP_TrackBack v2.0.3jp6
NP_Clap v1.2
NP_SimilaritySearch v1.2
NP_TypeKey v1.2
NP_Paint v1.13
NP_Moblog v1.15

セキュリティ問題とは別件ですがBlacklistも新しいものをリリースしています
NP_Blacklist 0.98 jp8

オフライン

#13 2006-10-03 13:58:23

yu
メンバー
From: 神奈川
登録日: 2003-11-15
投稿: 718
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

またまたプラグインのセキュリティ修正情報です。

NP_LinkList Ver0.53
NP_TodoList Ver0.42

:idea: ご利用の方はお手数ですがアップデートをお願いします。


Nucleusだとか
http://nucleus.datoka.jp/

オフライン

#14 2006-11-23 00:03:36

yu
メンバー
From: 神奈川
登録日: 2003-11-15
投稿: 718
ウェブサイト

Re: プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

念のため、こちらにもセキュリティ修正版のアナウンスです。
ご利用の方はお手数ですが更新をお願いします。

NP_LinkCounter Ver0.32
NP_LinkList Ver0.6

※wikiにも反映してあります
http://japan.nucleuscms.org/wiki/


Nucleusだとか
http://nucleus.datoka.jp/

オフライン

Board footer