Nucleus バージョン3.31 SP2 日本語版が登場

2008/09/26
Nucleus v3.31 SP2 EUC-JP日本語版のリリースについて

EUC-JP日本語版Nucleus3.31 SP1において、インターネットエクスプローラ・バージョン6(IE6)を用いたときにクロスサイトスクリプティング(XSS)が起こる脆弱性が発見されました。EUC-JP版を使用している場合は、本サイトより脆弱性の修正を行ったNucleus3.31 SP2をダウンロードし、早急にアップデートをお願いします。なお、UTF8版や英語版におきましては、この脆弱性の存在は確認できません。

該当製品:
影響を受けるバージョンは、以下の通りです
・EUC-JP日本語版Nucleus バージョン3.31 SP1とそれ以前のバージョン

脆弱性の説明:
問題の脆弱性は、IE6においてエンコードの壊れたEUC-JP文字列を表示させた場合に起こるバグにより、XSSが起こるというものです。最新版のインターネットエクスプローラ(IE7かそれ以上)や、FirefoxなどではこのXSSは起こりません。

脆弱性がもたらす脅威:
この脆弱性を突いた攻撃が成功すると、悪意のある第三者により、IE6を用いた閲覧者に対して任意のJavaScriptを実行したり改変されたサイトの内容を表示させたりすることが可能です。結果として、クッキー情報やその他のユーザー情報・パスワードなどの漏洩が起こる可能性があります。

対策方法:
EUC-JP日本語版をお使いの場合、この問題を回避するには、最新のEUC-JP日本語版Nucleus(3.31 SP2か、それ以上)にアップグレードしてください。なお、UTF8日本語版と英語版におきましては、この件に関して対策を行う必要はありません。

開発について

Nucleus CMS日本語版は、日本語版パッケージリリースチームが開発をしています。メーリングリストNucleus-jp-developersで情報の共有をしています。

プロジェクトの趣旨は、日本語が扱えるNucleus CMSのリリースを続けることと、Nucleus CMS日本コミュニティの運営です。加えて現在はオリジナルのNucleus CMSに対し、より妥当な多言語化のための改善を加えるよう働きかけをおこなっています。

リリースプロジェクトはGitHubにホスティングしています。ソースコードのバージョン管理にはgitを利用しています。

開発に参加したい方は、GitHubを通じてプルリクエストをお送りください。