plugins:0patchblogid

差分

この文書の現在のバージョンと選択したバージョンの差分を表示します。

この比較画面にリンクする

plugins:0patchblogid [2011/03/23 21:28] (現在)
ライン 1: ライン 1:
 +====== NP_0PatchBlogid.php ======
 +
 +**複数プラグインのセキュリティ脆弱性を解消**
 +
 +コアとプラグインに関わる形でのセキュリティ脆弱性の報告を受け、対象プラグインが脆弱性対応を済ませるまでの暫定的な対策として当プラグインをリリースします。同じ仕組みで動作する他プラグインにも有効と思われます。
 +
 +このプラグインで解消できない脆弱性を持つプラグインもあり、それらはプラグイン自身のアップデートが必要です。
 +
 +このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。
 +
 +  * 以下のプラグインのSQLインジェクション脆弱性。
 +    * [[plugins:​showblogs|NP_ShowBlogs]](脆弱性に対応した最新版がリリースされました)
 +    * [[plugins:​multiblogs|NP_MultiBlogs]]
 +    * [[plugins:​multitags|NP_MultiTags]]
 +    * NP_SC
 +
 +
 +  * NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。\\ 現状で確認されているプラグインは以下の物です。
 +    * [[plugins:​showblogs|NP_ShowBlogs]](脆弱性に対応した最新版がリリースされました)
 +    * [[plugins:​multiblogs|NP_MultiBlogs]]
 +    * [[plugins:​multitags|NP_MultiTags]]
 +    * NP_TitleList(脆弱性に対応した最新版がリリースされました)
 +    * 他。
 +<​code>​
 +明記したプラグイン以外にも脆弱性が存在する可能性があります。 URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いします。
 +
 +この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。設定は必要ありません。
 +
 +複数の環境でテストを行いました。不具合は確認されていませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたらフォーラムへご報告をいただきますようお願いいたします。
 +</​code>​
 +
 +[追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。
 +
 +  * 以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。(NP_0PatchBlogidでは解決しません)
 +    * NP_CustomURL http://​japan.nucleuscms.org/​wiki/​plugins:​customurl
 +    * NP_Analyze http://​japan.nucleuscms.org/​bb/​viewtopic.php?​t=1626
 +
 +今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。
 +
 +なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。
 +3.22以前をお使いの方はこの機会に[[http://​japan.nucleuscms.org/​bb/​viewtopic.php?​t=2427|3.24]]へのアップデートをお願いいたします。
 +
 +^General Plugin info ^^
 +^作者: | [[http://​japan.nucleuscms.org/​wiki/​admin|Nucleus日本公式コミュニティ]] |
 +^最新のバージョン:​ | 0.2.5(2006/​09/​08) |
 +^入手先: |[[http://​japan.nucleuscms.org/​bb/​viewtopic.php?​t=2279|配布トピック]]|
 +^動作サンプル:​ |[[http://​japan.nucleuscms.org/​|Nucleus日本コミュニティ公式サイト]] |
 +^フォーラム参照先:​ |[[http://​japan.nucleuscms.org/​bb/​viewtopic.php?​t=2279|配布トピック]]|
 +^セキュリティチェック:​ | |
 +
 +
 +
 +=====インストール方法=====
 +  - Zipファイルを展開して、中身をサーバーのプラグインディレクトリにアップロードする
 +  - 管理画面からプラグインをインストールする
 +  - プラグインの一覧で一番上に表示されていることを確認。
 +
 +
 +=====このプラグインの使い方=====
 +
 +
 +=====スキン/​テンプレートへの記述=====
 +記述はありません。バックグラウンドで稼働するタイプのプラグインです。
 +
 +
 +=====オプション=====
 +オプションはありません。
 +
 +=====Tipsと裏技=====
 +
 +=====希望事項=====
 +
 +=====バグ=====
 +
 +
 +=====開発履歴=====
 +  * 9/8 0.2.5 TitleList、ExtraSkinにて発生する不具合のためアップデート
 +  * 9/6 0.2.3 初版リリース
 +
  
 
plugins/0patchblogid.txt · 最終更新: 2011/03/23 21:28 (外部編集)