[重要]FCKEditorにセキュリティホール

セキュリティ Geeklog本家で,FCKEditorにセキュリティホールがあることが発表されました。 FCKEditorをバージョン2.3にアップグレードしている場合を除き,Geeklog-1.4.0に同梱されているバージョンのFCKEditorに影響があります。ユーザーの皆様はすみやかに以下に述べる対策を行っていただくようお願いします。なお,FCKEditorを無効にしても対策にはなりませんので,ご注意ください。

※その後続いてGeeklog-1.4.0sr4が公開されましたので、そちらの記事もご覧ください。

次に述べる対策のうち,いずれを実行してください。

対策1. FCKEditorを削除する。
 /fckeditorディレクトリを削除すれば,対策完了。

対策2. FCKEditorのファイルアップローダーを無効にする。

  1. /fckeditorディレクトリの下にあるfilemanagerサブディレクトリを削除する。
  2. /fckeditorディレクトリにあるfckconfig.jsをエディタで開き,以下のように書き換える(3つともtrueをfalseに変えればOK):

    FCKConfig.LinkBrowser = false;
    (...)
    FCKConfig.ImageBrowser = false;
    (...)
    FCKConfig.FlashBrowser = false;

対策3. FCKEditorをバージョン2.3にアップグレードする。本家の掲示板にアップグレード方法が投稿されていますので,こちらをご覧ください。

対策2.を行ってもFCKEditor自体は使えますが,ファイルアップローダが使えなくなります。

以上の対策を行っていただいた後で,既に不正なファイル(自分がアップロードした覚えがないファイル)がないか,/images/libraryディレクトリの下にある4つのディレクトリ('File', 'Flash', 'Image', 'Media')を点検してください。特に,ファイル名に "suntzu" が含まれているものは削除してください。