plugins:0patchblogid

NP_0PatchBlogid.php

複数プラグインのセキュリティ脆弱性を解消

コアとプラグインに関わる形でのセキュリティ脆弱性の報告を受け、対象プラグインが脆弱性対応を済ませるまでの暫定的な対策として当プラグインをリリースします。同じ仕組みで動作する他プラグインにも有効と思われます。

このプラグインで解消できない脆弱性を持つプラグインもあり、それらはプラグイン自身のアップデートが必要です。

このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。

  • NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。
    現状で確認されているプラグインは以下の物です。
    • NP_ShowBlogs(脆弱性に対応した最新版がリリースされました)
    • NP_TitleList(脆弱性に対応した最新版がリリースされました)
    • 他。
明記したプラグイン以外にも脆弱性が存在する可能性があります。 URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いします。

この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。設定は必要ありません。

複数の環境でテストを行いました。不具合は確認されていませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたらフォーラムへご報告をいただきますようお願いいたします。

[追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。

今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。

なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。 3.22以前をお使いの方はこの機会に3.24へのアップデートをお願いいたします。

General Plugin info
作者: Nucleus日本公式コミュニティ
最新のバージョン: 0.2.5(2006/09/08)
入手先: 配布トピック
動作サンプル: Nucleus日本コミュニティ公式サイト
フォーラム参照先: 配布トピック
セキュリティチェック:

インストール方法

  1. Zipファイルを展開して、中身をサーバーのプラグインディレクトリにアップロードする
  2. 管理画面からプラグインをインストールする
  3. プラグインの一覧で一番上に表示されていることを確認。

このプラグインの使い方

スキン/テンプレートへの記述

記述はありません。バックグラウンドで稼働するタイプのプラグインです。

オプション

オプションはありません。

Tipsと裏技

希望事項

バグ

開発履歴

  • 9/8 0.2.5 TitleList、ExtraSkinにて発生する不具合のためアップデート
  • 9/6 0.2.3 初版リリース
 
plugins/0patchblogid.txt · 最終更新: 2011/03/23 21:28 (外部編集)