MODx 0.9.6.2が正式リリース

オープンソースCMS、MODxの0.9.6.2が正式にリリースされました。詳細は、MODxのニュース・情報ブログ「MODxBLOG」の「MODx 0.9.6.2が正式リリース」でも取り上げていますが、「CSRF脆弱性と0.9.6.2のHTTPリファラチェック機能」など脆弱性の件もあるのでこちらでも取り上げておきます。よろしければ、MODxBLOGも併せてご覧ください。

マネージャの操作中に発見し、トラッカーであるJIRAに登録していたCSRF脆弱性ですが、0.9.6.2でのHTTPリファラチェック機能の搭載によって、攻撃の可能性が軽減されました。また、他に報告されていたMCPUCKリソースブラウザのXSS脆弱性、htcmime.phpのヌルバイト攻撃に対する脆弱性、AjaxSearchのローカルファイルインクルード脆弱性についても対策が行われています。過去にMODxのサイトを狙った攻撃もあるようなので、0.9.6.2にアップグレードするなどの対策を行っておきましょう。

その他の注意点としては、日本語の言語ファイルについてですが、ちょっとした手違いで最新版の言語ファイルがパッケージから漏れてしまったみたいです。なので、MODx 0.9.6.2を導入する際は、忘れずに最新の言語ファイルをダウンロードして上書きしておきましょう。最新の言語ファイルは、公式フォーラムの「MODx0962について」というスレッドでダウンロードできます。この言語ファイルは0.9.6.3で同梱されるそうです。というか、0.9.6.3も出る予定なんですね。

changelog.txtを見るとわかりますが、0.9.7として出すつもりだったということもあって、かなりの変更点があります。全部は確認しきれていないのですが、個人的には、細かいことですがvar MODX_MEDIA_PATH = "media";のようなJavaScriptが出力されなくなったのがうれしいです。これが原因でMODxのサイトだと特定され、攻撃の対象となったこともあったようですが、単純にXHTML中に出力されるのがいやだったので…。

最近のニュースだけを挙げても、modx revolutionmodx evolution新しいmodxのロゴ次々と登録・更新されるMODx用リソースなど、ますます今後が楽しみなCMSです。

MODx 0.9.6.2は日本語環境で文字化けするようです。0.9.6.3がすぐにリリースされるようですので、それまでセキュリティ面に注意して、アップデートを待ったほうがよさそうです。

コメント (0)

この記事へのコメントはまだありません。

コメントフォーム

トラックバック (0)

この記事へのトラックバックはまだありません。

この記事のトラックバックURI
http://dxd8.com/archives/156/trackback/
この記事のURI
http://dxd8.com/archives/156/