Nucleusコアとプラグインに関わる形でのセキュリティ脆弱性の報告があり、報告者であるkosugiatkipsさんの協力の下、暫定対策として、脆弱性を解決するプラグインをリリースすることができました。
以下よりダウンロードを行い、導入をお願いいたします。
・NP_0PatchBlogid
また、このプラグインで解消できない脆弱性を持つプラグインもあり、そちらに関してはプラグイン自体のアップデートが必要になります。
このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。
1.以下のプラグインのSQLインジェクション脆弱性。
・NP_ShowBlogs
・NP_MultiBlogs
・NP_MultiTags
・NP_SC
2.NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。
現状で確認されているプラグインは以下の物です。
NP_ShowBlogs
NP_MultiBlogs
NP_MultiTags
NP_TitleList
他。
特に2番に関しては、明記したプラグイン以外にも脆弱性がある場合がございます。
URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いいたします。
この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。
設定等は必要ありません。
いくつかの環境でテストを行い、不具合は確認されておりませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたら、フォーラムへご報告をいただきますようお願いいたします。
[追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。
3.以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。(NP_0PatchBlogidでは解決しません)
・NP_CustomURL
http://shizuki.kinezumi.net/NP_CustomURL.html
・NP_Analyze
http://japan.nucleuscms.org/bb/viewtopic.php?t=1626
今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。
報告から対策まで時間がかかり、ユーザーの皆様にはご心配をおかけしたことをお詫びいたします。
なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。
3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。
今回の脆弱性についての対策を追加したNulceusの新バージョンにつきましてはもう少しお時間をいただきますことをご了承ください。
藤咲
備忘録とかもろもろ
http://fjsk.tk/
オフライン