Geeklog 1.8.2sr1 と 2.0.0rc2

セキュリティ
2件のセキュリティの問題に対応したセキュリティリリースを最新版の 1.8.2 と 2.0.0 (公式にはrc)対応しました:
  • High-Tech Bridge Security Research Lab が XSSがカレンダープラグインのcalendar_type parameterに存在することを報告しました(訳註 これに伴い、日本語版ではカレンダーjpプラグインも同様に対策しました。)(HTB23143)。
  • Trustwave Spiderlabs は、インストールプログラム、コンフィギュレーション、アンケートプラグインの管理画面、話題の管理画面にXSSが存在することを報告しました。 (TWSL2013-001).
Geeklog 1.8.2sr1 と 2.0.0rc2におけるセキュリティ以外の修正:
  • Twitter OAuth ログインのTwitter APIをversion 1.1に切り替えました。

 

今回の対応で、本家からは Geeklog 1.8.2sr1 (完全な update from 1.8.2をベースとしたパッケージ) と Geeklog 2.0.0rc2が配布されました。

日本語版の1.8.2sr1-jp1.0は追って配布しますが、取り急ぎ本家版の/plugins/calendar/functions.inc に差し替えてください。
今回の修正箇所は、日本語版のバージョン管理の修正箇所を参照してください。

Geeklog 2.0.0rc2は、以下のバージョン管理の自動生成パッケージで最新版をどうぞ。はじめてご利用の場合は、一緒につかうと便利なものが最初から同梱されているextendedの方をおすすめします。
ftp://ftp.back-street.net/pub/geeklog-jp/

今回の主なXSS脆弱性はcalendarプラグインおよび日本語拡張版で配布しているcalendarjpプラグインなので、利用していないサイトはカレンダープラグインをアンインストールしてください。