Nucleus(JP)フォーラム

NucleusCMS日本語版ユーザーのためのサポートフォーラムです。疑問が生じたらまずは記事検索をご利用ください。

ログインしていません。

#1 2008-12-16 14:39:50

kimitake
メンバー
From: かるふぉるにあ
登録日: 2004-12-10
投稿: 266
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

Nucleus CMS v3.31 SP3 の日本語版をリリースします。

このバージョンより以前の版には、下記の通りいくつかのセキュリティ上の脆弱性が
あったため、それを修正しています。

1.アイテムが削除する権限を持たないはずのメンバーにより削除されてしまう危険性
2.media.php によるディレクトリ・トラバーサル攻撃の危険性


この改造版再配布は元の Nucleus CMS が GPL に基づき配布されていることによるものです。
よってこれらも GPL に属しますので、これらを用いた独自パッケージの配布等をされる場合は、
同様にライセンスを引き継いで下さい。

フルパッケージ、アップグレードパッケージとも下記から取得してください。
フルパッケージ(EUC-JP)
https://sourceforge.jp/projects/nucleus ... uc_sp3.zip
フルパッケージ(UTF-8)
https://sourceforge.jp/projects/nucleus ... f8_sp3.zip

アップグレードパッケージ(EUC-JP)
https://sourceforge.jp/projects/nucleus ... uc_sp3.zip
アップグレードパッケージ(UTF-8)
https://sourceforge.jp/projects/nucleus ... f8_sp3.zip

v3.31 SP1 または SP2 からの差分のみパッケージ(EUC-JP/ UTF-8 共用)
https://sourceforge.jp/projects/nucleus ... ja_sp3.zip

オフライン

#2 2008-12-16 14:41:38

kimitake
メンバー
From: かるふぉるにあ
登録日: 2004-12-10
投稿: 266
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

以前のバージョン(v3.3を含む)からアップグレードする場合に使用してください。
v3.3 から追加されたデータベースがありますので、必ず実行してください。
v3.31SP1 または SP2  からアップグレードする場合は必要ありません。
nucleus/upgrades フォルダを削除してお使いください。

以下、アップグレード手順についてです。

ステップ1 バックアップの作成
データベースと config.php のバックアップをとります。
通常アップグレードの際にこれまで使用していたデータベースを壊したりはしませんが、
用心するに越したことはないので、必ずバックアップをとってください。

ステップ2 ファイルの更新
もしコアファイル(css なども含む)を変更してる場合は、ファイルの更新後、必要な箇所を
変更しなおしてください。もちろん更新する前にバックアップをとっておいてください。

ステップ3 アップグレードスクリプトの実行
下記 URL にアクセスしてアップグレードスクリプトを実行します。
yoursite.com はあなたの web ページにあわせて適宜置き換えて下さい。
nucleus ディレクトリは通常デフォルトの管理者画面のトップディレクトリ名です。
http://www.yoursite.com/nucleus/upgrades/index.php

実行すべきアップグレード手順のリストが表示されます。
これらのアップグレード手順を全て実行します。
これによりアップグレード後に必要となるデータベース(v3.31用)が構築されます。

セキュリティリスクを避けるため、nucleus/upgrades ディレクトリは
アップグレード後は削除してください。

オフライン

#3 2008-12-17 04:32:54

kimitake
メンバー
From: かるふぉるにあ
登録日: 2004-12-10
投稿: 266
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

media.php によるディレクトリ・トラバーサル攻撃の危険性に関して、下記に詳細があるので参照してください。

<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?p=24067#24067">viewtopic.php?p=24067#24067</a><!-- l -->

オフライン

#4 2008-12-17 11:43:59

kimitake
メンバー
From: かるふぉるにあ
登録日: 2004-12-10
投稿: 266
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

アイテムが削除する権限を持たないはずのメンバーにより削除されてしまう危険性について

該当製品:
影響を受けるバージョンは 3.3 以降、3.31sp1 もしくは sp2 までのバージョン

脆弱性の説明:
3.3 から導入されたオートドラフト保存の不具合により、複数の管理者(アイテムを追加できる人が
いるという意味です)で運営してるサイトで、本来削除する権限の無いアイテムを削除することができる
という脆弱性がありました。

脆弱性がもたらす脅威:
複数の管理者で運営してるサイトで、、悪意を持った人がいた場合、もしくは
管理者のアカウントのうち1つでもなんらかの方法で悪用された場合、
最悪全エントリを削除されてしまう可能性があります。

対策方法:
該当するバージョンをお使いの場合、特に複数の管理者で運営されてる場合は、
この問題を回避するために、最新の日本語版 Nucleus (3.31 sp3 かそれ以上)に
アップグレードしてください。

オフライン

#5 2008-12-17 15:54:54

leverage
メンバー
登録日: 2007-12-08
投稿: 16

Re: Nucleus CMS v3.31 SP3 日本語版

nucleus3.31_ja_utf8_sp1
を使用させていただいております。

diff3.31_ja_sp3 の中身を
置き換えるだけで良いのでしょうか?

オフライン

#6 2008-12-17 17:42:12

cat
Administrator
登録日: 2003-11-14
投稿: 291

Re: Nucleus CMS v3.31 SP3 日本語版

leverageさん
置き換えるだけでOKですよ :-)

せっかくなので。
v3.3とそれ以前 [UTF-8][EUC] -> アップグレード操作が必要
v3.31SP1 [UTF-8][EUC] -> 差分ファイルを上書きでOK
v3.31SP2 [EUC] -> 差分ファイルを上書きでOK

(英語版v3.33 は こちらのファイルを上書きでOK)

->よくわからない場合はもう一度上から2番目の記事をお読みください :-)

オフライン

#7 2008-12-17 18:54:34

leverage
メンバー
登録日: 2007-12-08
投稿: 16

Re: Nucleus CMS v3.31 SP3 日本語版

ありがとうございます。助かりました。 big_smile

オフライン

#8 2008-12-19 02:03:40

boff
メンバー
From: Fukuoka
登録日: 2006-10-11
投稿: 149
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

いつもお世話になっています。
ver.3.3からver.3.31SP3にアップグレードを試みました。
NP_znCustomAdminを利用させていただいてたので、編集していたADMIN.phpとPAGEFACTORY.phpの関係で、はじめはうまくアップデート画面が出ず、戸惑いましたが、いったんNP_znCustomAdminをアンインストールしてアップデートの進行はすべて「成功」し、管理画面にも入ることができました。
管理画面上でも「Nucleus CMS v3.31SP3」と表示されているので、無事にアップデートは完了したものと思い、ブログにアクセスしてみたところ、画面一番下に以下のようなメッセージが現れています(現在2つのブログを運営中でどちらにも表示されています)。

Fatal error: Call to undefined method: blog->checkjustposted() in /home/marble-lab/www/nucleus/libs/globalfunctions.php on line 1009

解決しようとフォーラム内やGoogleで検索したのですが、解決に至らず質問させていただきました。
どうしたらいいでしょうか?

また、改めてNP_znCustomAdminを導入しようと思い、インストールの手順にしたがって、ADMIN.phpとPAGEFACTORY.phpを編集し、サーバにアップしたところ、その時点でエラーが生じて管理画面も表示されなくなってしまいます。
あわせて解決方法を教えていただければと。

サーバのPHP ver.は4.4.9、MySQLクライアントのバージョンは4.1.22です。

何卒、よろしくお願いいたします。


・Nucleus CMS v3.41RC
・PHP 5.2.17
・MySQL 4.1.25
・Apache/1.3.41 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e

オフライン

#9 2008-12-19 09:10:15

shizuki
Administrator
From: 西播磨
登録日: 2006-03-23
投稿: 900
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

アップデートはどのような方法で行われましたか?
3.3から3.31SP3へのアップデートの場合、差分ファイルだけだと色々と不十分(ここの差分ファイル以外にも大量に変更が加えられています)ので、一旦全てのファイルを「アップグレードパッケージ」のファイルに置き換える必要があります。
もし「アップグレードパッケージ」を使用してアップデートしたのであれば、ファイルの置き換えが上手く行っていない可能性が高いので、もう一度FTPで上書きしなおしてみてください

オフライン

#10 2008-12-19 10:54:04

boff
メンバー
From: Fukuoka
登録日: 2006-10-11
投稿: 149
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

shizukiさんへ

返答、ありがとうございます。
アップデートは、「アップグレードパッケージ」を使いました。

落ち着いて、もう一度アップグレードファイルを置き換えてみます。


・Nucleus CMS v3.41RC
・PHP 5.2.17
・MySQL 4.1.25
・Apache/1.3.41 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e

オフライン

#11 2008-12-19 16:56:54

boff
メンバー
From: Fukuoka
登録日: 2006-10-11
投稿: 149
ウェブサイト

Re: Nucleus CMS v3.31 SP3 日本語版

shizukiさんへ

もう一度、アップグレードファイルをFTPにて置き換えたところ、先のエラーメッセージはでなくなりました。
お騒がせしてすいませんでした。 :oops:
ありがとうございました。


・Nucleus CMS v3.41RC
・PHP 5.2.17
・MySQL 4.1.25
・Apache/1.3.41 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e

オフライン

Board footer