[セキュリティリリース]注意: インストール・スクリプトを削除してください!

セキュリティ

本家からセキュリティリリースがありました。
当初からご案内しているように,インストールしたら公開領域の/admin/install/をすべて削除することを徹底してください。

以下,本家からの案内を翻訳したものです。

Bugtraqセキュリティ

メーリングリストに最近ポストされたメールは、Geeklogのインストールやアップグレードが成功した後は、インストール・スクリプトを常に削除するこの重要性を思い出させます。

MaXe氏はGeeklog 1.5.xのインストールスクリプトに、パスの漏洩とリモートのファイルをインクルードするといった結果を招く可能性のある、クロスサイトスクリプティン(XSS)を指摘されました。このXSSは、1.6.0のインストール・スクリプトにも未だに残っていて、Nemesisと自称される方から事前に我々(Geeklog team)からも指摘がありました。

この問題に我々は、次の1.6.0のリリース(おそらくrc1)では注意したいと思います。そこでもう一度:

1. インストールの手順に従ってください。
2. インストール・スクリプトを削除するという、組み込まれた注意に従ってください。
3. 我々が以前に提供したインストールの前、最中、後の各段階でのセキュリティ上のヒントに従ってください。

http://www.geeklog.net/article.php/remove-the-install-script

A recent posting on the Bugtraq security mailing list should serve as a reminder to always remove the install script after a successful install or upgrade of Geeklog: MaXe points out an XSS, a path disclosure, and a remote file inclusion in the 1.5.x install script. The XSS is still present in the 1.6.0 install script and has been pointed out to us before by a person who called himself Nemesis.

We'll take care of this in the next 1.6.0 release (probably rc1). So again: Please follow the installation instructions and the built-in reminders to remove the install script and the other security tips that we provide before, during, and after the install.