[重要] A-Form セキュリティアップデート(通常版/Bamboo 全バージョン対象)
2010年6月 9日
[重要] A-Form セキュリティアップデート(通常版/Bamboo 全バージョン対象)
A-Form 通常版 および A-Form Bamboo ユーザの皆さま
A-Form(通常版およびBamboo)においてクロスサイトスクリプティング(XSS)による脆弱性が確認されました。この問題に対処するため、本日、A-Form の修正バージョンをリリースいたしました。
セキュリティ脆弱性の修正バージョンとなりますので、アップデートを強く推奨いたします。
■確認された問題
A-Form(通常版およびBamboo)の定番パーツの一部において、
適切に入力エスケープがされないため、クロスサイトスクリプティングが発生しうる。
■セキュリティ上の問題により発生しうる脅威
フォームに問題の定番パーツを使用していた場合、
閲覧者のブラウザ上でのスクリプト実行、偽ページの表示(フィッシング)、ウイルスサイトへの誘導などの危険がある。
■対象となる製品
MT5版
・A-Form 通常版 for MT5
・A-Form Banboo for MT5
MT4版
・A-Form 通常版 for MT4
・A-Form Banboo for MT4
■今回提供される修正版のバージョン
MT5版
・A-Form 通常版 for MT5 v2.0.2
・A-Form Banboo for MT5 v2.0.2
MT4版
・A-Form 通常版 v1.3.5
・A-Form Banboo for MT4 v1.3.5
■本バージョンでは、上記の他に次のバグ修正を行っています。
・記事の日時指定公開で、A-Formが埋め込まれた記事ページだけ再構築されない。
run-periodic-tasksでの再構築に対応していなかった問題。
関連URL: http://groups.google.com/group/mt-a-form/browse_thread/thread/15b6dd94f12f2f17?hl=ja
・[MT4版 Bamboo]DBがPostgreSQLの場合に新規フォーム作成すると
「error: create aform」と言うダイアログ表示され作成する事ができない。
関連URL: http://groups.google.com/group/mt-a-form/browse_thread/thread/21af2028b28a931b?hl=ja
■ダウンロード
A-Form ダウンロードページよりお使いの環境にあったパッケージをダウンロードしてください。
https://www.ark-web.jp/movabletype/a-form/download.html
■アップデート方法
解凍した最新版ファイルで、既存のA-Formファイルを上書きアップロードすることでアップデートされます。
※万が一に備えて、あらかじめ
MT_INSTALL_DIRECTORY/plugins/AForm/ ディレクトリ、および
MT_INSTALL_DIRECTORY/mt-static/plugins/AForm/ ディレクトリの
バックアップを取ってからアップデート作業をなさってください。
【重要:A-Form用テンプレートを独自カスタマイズしている場合】
今回のセキュリティ対応に、aform_confirm.tmplの修正が含まれています。
MT_INSTALL_DIRECTORY/plugins/AForm/tmpl 以下にあるA-Form用テンプレート
ファイルを独自カスタマイズしている場合は、
aform_confirm.tmplについて、前バージョンとの差分を独自カスタマイズした
テンプレートに対して適用して頂く必要がございます。
あらかじめカスタマイズファイルをバックアップしておき、修正適用後の
aform_confirm.tmplおよび他のカスタマイズファイルのみを再度上書きで
戻してください。
修正箇所は以下の通りです。
57行目~63行目付近にある
<mt:if name="type" eq="privacy">
<mt:loop name="hash_values">
<input type="hidden" name="aform-field-<$mt:var name="id"$>-<$mt:var name="__key__"$>" value="<$mt:var name="__value__"$>" />
</mt:loop>
<mt:else>
<input type="hidden" name="aform-field-<$mt:var name="id"$>" value="<$mt:var name="value"$>" />
</mt:if>
と書いてある部分を探して、
59行目付近の
<input type="hidden" name="aform-field-<$mt:var name="id"$>-<$mt:var name="__key__"$>" value="<$mt:var name="__value__"$>" />
↓これを、下記のように修正
<input type="hidden" name="aform-field-<$mt:var name="id"$>-<$mt:var name="__key__"$>" value="<$mt:var name="__value__" escape="html"$>" />
62行目付近の
<input type="hidden" name="aform-field-<$mt:var name="id"$>" value="<$mt:var name="value"$>" />
↓これを、下記のように修正
<input type="hidden" name="aform-field-<$mt:var name="id"$>" value="<$mt:var name="value" escape="html"$>" />
【A-Formエンジンの設置ディレクトリを変更している場合】
SSL対応するために、A-Formのエンジン(aform_engine.cgiなどの
A-Form処理プログラム)をデフォルトの設置場所から変更して
お使いの場合は、移動先のファイルも忘れずにアップデート
(最新版で上書き)してください。
最後になりましたが、
Googleグループ等における不具合報告, 原因調査へのご協力に深く感謝いたします。
ありがとうございますm(__)m
カテゴリー: A-Form, A-Member, A-Reserve(MTプラグイン) , CMS(コンテンツマネジメント・システム)
タグ:
« 前の記事:「だれもが使えるウェブコンクール」表彰式&シンポジウムは3月26日(金)! アクセシビリティに興味ある人なら必見です
» 次の記事:10月15日(金)「「盛り上がるソーシャルメディア、話題の新デバイス アクセシビリティの今とこれから」セミナーのお知らせ(第2回だれもが使えるウェブコンクール)
アークウェブの本
Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用
内容充実のZen Cart公式本(v1.3対応)がついに発表です。アークウェブのスタッフをはじめZen-Cart.JPの中心メンバーが共著で執筆しました。続きを読む
新着はてブ
カテゴリー
- Shopify(ショピファイ)オンラインショップ構築
- NGO・NPO向け情報
- スマートフォン
- だれもが使えるウェブコンクール
- mixiアプリ
- OpenSocial (システム開発)
- アークウェブのCSR
- A-Form, A-Member, A-Reserve(MTプラグイン)
- Ruby on Rails(システム開発)
- necoったー
- Miqqle
- WebSig24/7
- ecoったー
- ビッグイシュー(The Big Issue)
- CSR(企業の社会的責任)
- マッシュアップ
- RIA (システム開発)
- セキュリティ(システム開発)
- 唐松(アクセス解析)
- Ajax (システム開発)
- テスト(システム開発)
- データベース
- PukiWiki
- Web 2.0
- SEO・サーチエンジン最適化
- XP・アジャイル(システム開発)
- Web・ITニュースクリップ
- Webアクセシビリティ
- Webデザイン
- SEM・サーチエンジン広告
- Webユーザビリティ
- CMS・MovableType
- Zen Cart(オンラインショップ構築)
- Snippy(SNS・ソーシャルブックマーク)
- アークウェブ
- オープンソース
- CMS(コンテンツマネジメント・システム)
- Webマーケティング
- AMP
- SNS
アーカイブ
応援しています
(終了しました)
