cha-ki-sho

気になったことのメモ

b2evolution 4.0.4以前にXSS脆弱性

Posted by Jun MUTO on 2011/03/25 in b2evolution

b2evolution公式フォーラムの「b2evolution 4.0.3 Vulnerability」でのやり取りによると、b2evolution 4.0.4以前にクロスサイトスクリプティング(CSS/XSS)脆弱性があるそうです。

対策を施したb2evolution 4.0.5が3月23日にリリースされています。

私のほうで手元の2.4.7日本語改造版を4.0.5にバージョンアップする余力がないので、ひとまず2.4.7の該当する部分を修正したものを作ってみました。後述のZIP書庫ファイルを展開して出てきた _param.funcs.php ファイルを、元のファイルと(バックアップをとった上で)差し替えてください。

自分用に作っただけであまりきちんと動作検証できてないので、もしこれを利用する方がいらっしゃいましたら、あくまで一時しのぎくらいに考えておいてください。

[b2evolution 2.4.7日本語周り改造版用修正ファイル]
b2evolution-2.4.7-xss-fix-20110325.zip

ファイル・サイズ: 15,447 bytes,
MD5: 1ebb26161723b42e50108456e8b45342 ,
SHA1: a55fc67971669590b1dfb9344472f6a4f435562c
(ここXREA.COM無料サーバからのファイルのダウンロードは、混み合う時間帯には特に、途中で中断してしまう場合がありますので、ダウンロード後にファイル・サイズを確認して、もしサイズが小さい場合はダウンロードしなおしてみてください)

今回の脆弱性公開のごたごたについて雑感

以下は余談になります。

今回の脆弱性報告は、3月15日にAutoSec ToolsのJohn Leitch氏がb2evolution公式フォーラムに「脆弱性を発見しました。こちらにメールをくれれば詳細を教えます。(要約)」という主旨の書き込みをしたところから始まっているのですが、当初は「14日間待ってから公開する (we will disclose this vulnerability in a public advisory 14 days after this notification.)」と述べていたにもかかわらず、実際にはわずか18時間で公開しており、AutoSec Tools側の言動が一貫していないことに問題を感じます。

フォーラム上で「デマではないか」「広告・宣伝活動ではないか」「脅迫っぽく感じる」などの反応が一部ユーザーたちからあったことで、AutoSec Tools側が腹を立てたのではないかとも想像できますが、最初に14日待つと言ったものを18時間後に自ら反故にするのは、ちょっといただけません。

公開の約5時間前(最初の書き込みから約13時間後)には、アクティブメンバーの一人が「私のほうにメールを送ってください。適切な内容なら、Françoisさん(プロジェクト管理者/メイン開発者)にも転送しますよ。(要約)」と書き込みをしていただけに、AutoSec Tools側がどういう理由で即日公開に踏み切ったか、理解ができません。

b2evolution 2.4.7 の日本語周りの改造

Posted by Jun MUTO on 2009/12/31 in b2evolution

非常に今更ですが、b2evolution 2.4.7 "Tilman" の日本語対応に関する改造です。
(2.4.7本体の入手は、公式サイトの以前のバージョンのダウンロードページから可能です)

7ヶ月前のリリースですからね。もし待っていた方がいらしたら、本当に申し訳ありませんでした。

今回の改造内容は、以前の記事「b2evolution 2.4.6 の日本語周りの改造」と同じですので、説明や注意事項はそちらを参照してください。

余談ですが、現行のバージョン3.x系の日本語対応改造をやるかどうかはまったく未定です。申し訳ありませんが、期待はしないでいてくださると助かります。

改造差し替えファイル

以下が、改造部分の差し替えファイルをまとめたアーカイブ・ファイルです。差し替えファイルで既存のファイルを置き換えてください(バックアップを取るのを忘れずに)。

2.4.7用の日本語メッセージファイルは作成していませんのでご注意ください。以前の記事「b2evolution 2.4.6 の日本語周りの改造」を参照して、日本語メッセージファイルを別途入手して利用してください。

b2evolution-2.4.7-japanese-mod2009-12-31.zip

ファイル・サイズ: 223,864 bytes,
MD5: 51ebd0b7b9460227cf4a94fdeabfefdb ,
SHA1: 3aa12365b38dac1b6f713638eace00b39eb10bb1
(ここXREA.COM無料サーバからのファイルのダウンロードは、混み合う時間帯には特に、途中で中断してしまう場合がありますので、ダウンロード後にファイル・サイズを確認して、もしサイズが小さい場合はダウンロードしなおしてみてください)

b2evolution 2.4.6 の日本語周りの改造

Posted by Jun MUTO on 2009/01/13 in b2evolution

b2evolution 2.4.6 "New Year" の日本語対応に関する改造です。

今回の改造差し替えファイルは、公開前の動作確認をほとんどしていませんので、問題が起こるかもしれません。使用される際は、各人でテストされた上でご利用いただきますようお願いします。

以下、説明(ほぼ以前の使い回し)と、改造差し替えファイルのダウンロードリンクを記述します。

単に使ってみたいだけという方は「前置き」以降の説明文は読まず、「はじめに」と「改造差し替えファイル」だけ読んで利用していただいて構いません。ただ、どこに変更を加えていて、どの機能は手付かずなのか知りたくなった時など、それ以外も参照してみてください。

(例えば、多くの方が興味があるのに、私の改造で手を付けていない部分の最たるものは、「メールによる記事投稿」機能の日本語文字化けです。修正のための動作検証に手間もかかりますし、たとえ文字化けを直しても、主に需要のある添付ファイル付きメール投稿、いわゆる写メール投稿には元々b2evolutionが対応していませんから、あまり必要性は無いと思っています)

1月16日追記:トラックバック受信時の文字セット指定で、問題のあるものが指定されていないかどうかの簡易チェックを追加しました。すでに以前の改造差し替えファイルを適用した方で、特にPHP 5.2.6以前、4.4.9以前で運用されている場合は、新しい改造差し替えファイルに置き換えてください。

続きを読む »

b2evolution 2.4.5 の日本語周りの改造

Posted by Jun MUTO on 2008/09/21 in b2evolution

b2evolution 2.4.5 "Monument Valley" の日本語対応に関する改造です。

以下、説明(ほぼ以前の使い回し)と、改造差し替えファイルのダウンロードリンクを記述します。

単に使ってみたいだけという方は、「前置き」以降の説明文は読まず、「はじめに」と「改造差し替えファイル」だけ読んで利用していただいて構いません。ただ、どこに変更を加えていて、どの機能は手付かずなのか知りたくなった時など、それ以外も参照してみてください。

(例えば、多くの方が興味があるのに、私の改造で手を付けていない部分の最たるものは、「メールによる記事投稿」機能の日本語文字化けです。修正のための動作検証に手間もかかりますし、たとえ文字化けを直しても、主に需要のある、添付ファイル付きメール投稿、いわゆる写メール投稿には元々b2evolutionが対応していませんから、あまり必要性は無いと思っています)

続きを読む »

サイト再開します

Posted by Jun MUTO on 2008/06/20 in お知らせ, コンピューター

6月14日より「XREAの無料サービスで表示される広告内にウィルス」の問題のため、このブログを停止していましたが、再開しましたのでご報告いたします。

XREA.COM側での対処が6月17日夕方頃に行われ、18日未明には明確な原因の説明も行われましたので、復旧したとみなしました。
(「無料ユーザー向け広告配信サーバーの不具合について - XREA&CORE SUPPORT BOARD」参照)

説明された原因(外部委託していた広告配信サーバの管理パスワードが外部の者に渡り、それを使用して不正なファイルがアップロードされた)が管理のお粗末さを示しているだけに、若干の不安も残りますが、原因がはっきりしたことで対策も行われていると、ひとまず考えることにしました。

また、このコンピュータ・ウィルス(狭義にはトロイの木馬)の感染方法についての情報もまとめておきます。

不正なページが設置されたと見られる6月8日夜から、私が当ブログを停止した6月14日までの間で、当ブログへのアクセス時に、スクリプト(JavaScript)が有効で、XREA.COMが管理する imgj.xrea.com サーバ(としてラウンドロビン運用されている5台のうちの1台の改竄されたサーバ)の広告ページへとアクセスした場合、コンピュータウィルスが読み込まれる可能性がありました。

現時点で分かっている範囲では、以下のいずれかの状態であれば、ウィルスが実行される危険は無いようです。逆に、これらに当てはまらなければ、ウィルスが実行され被害を受けている可能性があります。

  1. スクリプト無効でアクセスしていた場合
  2. スクリプト有効で、且つ、imgj.xrea.com サーバの改竄された広告ページが表示されても、Flash Playerが最新版(バージョン9,0,124,0以降、もしくは8,0,42,0以降)であった場合

問題のウィルスは、一部のオンラインゲーム(リネージュ、リネージュ2、 RO、FFXIなど)のアカウント情報などを盗むものだったらしい、という情報があります。
(「XREA広告改竄」(リネージュ資料室)参照)

このウィルスについて正確にはわかっていないこともあるようですので、条件に該当しない方もウィルス対策等行っていただきたいのですが、特に上記オンラインゲームユーザの方でウィルスの被害を受ける条件に当てはまっていた場合は、アカウントの確認・パスワードの変更など対策を行われることをお勧めします。

最後に、参考までにFlash Player最新版(バージョン9,0,124,0以降、もしくは8,0,42,0以降)の入手先を再度示しておきます。

  • Adobe Flash Playerダウンロード(最新版。現時点ではバージョン9,0,124,0)
  • 旧バージョンのFlash Playerダウンロード(現時点ではバージョン8,0,42,0):Flash Player 8 (fp8_archive.zip) の中に 8.0 の最新版 r42 (8,0,42,0)のインストーラが入っています。日本語版Windows98/MEではFirefox, Mozilla, Opera, Netscape用のFlash Player 9最新版がクラッシュする不具合があるようなので、該当する環境にはこちらのFlash Player 8最新版をインストールしましょう。

お騒がせして申し訳ありませんが、よろしくお願いいたします。