カテゴリー
Other

b2evolutionバージョンアップ

セキュリティ問題の修正を含むアップグレード版がリリースされています。

http://b2evolution.net/news/2007/01/22/b2evo_1_8_7_and_1_9_2_released

「意味がある形での攻撃は難しいだろう」と書いてありますがアップグレードしておいた方が良いと思います。

正規表現がおかしてくリンクが正しく表示されない問題は直っていないですね。

カテゴリー
Other

b2evolution 1.8.6にXSS脆弱性

このブログのb2evolutionは1.9.1なので、1.9.1のコードを確認してみたところ、1.9.1にも厳格な入力チェックが行われていないなど、確かに好ましくない処理が行われていました。XSSと言うよりHTTP Response Splittingに脆弱なコードになっていました。

攻撃を成功させるには幾つかの条件が必要でした。

  • 普通のクロスサイトスクリプティングであるため、ログインするページを表示する場合に他人が用意した罠ページのログインリンクをクリックしないとならない
  • その後、ログイン操作を実際に行わなければならない
  • PHPのバージョンが古くheader関数が脆弱である

特に重要なのはPHPのバージョンが古くなければならない点です。PHP 4.4/PHP5.xなら問題ありません。このサーバで利用しているPHPも大丈夫なので対処は行っていません。

例えばRHEL 4はPHP 4.3なので攻撃が成功するかも知れません。(パッチを確認すれば脆弱性を攻撃できるか直ぐ分かるのですが未確認)いずれにせよ、公開用のPHPスクリプトを書く場合、比較的古いバージョンのPHPも広く利用されている事を前提にコーディングしなければならないです。

この脆弱性の危険度はCVEでHighになっていますが、SecuniaではLowになっています。どちらに設定するかは微妙なところです。環境が古ければ「非常に危険」と考える事もできますが、現在PHPプロジェクトが正式にサポートしているバージョンは4.4と5.2で両方とも影響を受けません。

話は変わりますがb2evolution 1.9.1は使わない方が良いかも知れません。正規表現に問題があるらしくアンカータグが正しく処理できない事がよくあります。本家サイト見るとサポートされているバージョンが1.8系と1.9系だけになっているのでバージョンアップを考えている方は1.8系を先に試す事をお勧めします。1.8.6で正しく表示されるかどうかは検証していませんが、少なくとも1.9.1は問題が多いです。

カテゴリー
Other

PuTTY for Zero3

Zero3用のPuTTYをインストールしてみました。動作はしますが直ぐに固まるようです。

カテゴリー
Other

新手のBlogスパム

前のバージョンから「ひらがな」フィルタを使って海外からのコメント・トラックバックスパムを削除していたのですが、敵も気が付いてきたようでタイトルのコピーを入れたスパムを送ってくるようになりました。

スパムを送ってくる業者はページランクが上がれば良いので同じ言語であるかどうか関係なくスパムを送っていると思われます。日本語サイト以外でも言語フィルタをつけたサイトが増えてきているのかも知れません。

「ひらがな」フィルタの効果は絶大だったのですが、タイトルのコピー・本文の一部をコピーされたスパムの場合、ほぼ無力に近いです。blogアプリをアップグレードしてる半日程度の時間、平仮名フィルタが無かっただけで900くらいのトラックバックスパムが着てしまいました。半分だけでもタイトルや本文のコピーをつけてSPAMを送られてきたらモデレートなんて不可能です。そのうちまた新しい手法が必要になりそうです。やはりGeoIPかな… あまりやりたくない手法ですが…

カテゴリー
Other

Blogアプリをバージョンアップ

このBlogはb2evolutionなのですが、一応安定版となっているとはいえ随分前からアップグレードしていませんでした。調べてみたら2年間アップグレードしていませんでした。

1.9.1Betaにアップグレードしました。基本的にconf/_basic_conf.phpの文字エンコーディングを”utf-8″に設定するだけでそれなりに日本語環境でも動作するようです。メールのエンコーディングはダメなようで修正が必要です。一部には明らかな不具合もありますがBetaなので次の最終版では直っている事を期待したいです。

改行文字がファイルによってCR/LFとLFが利用されている部分などは修正されているのかな?と期待していたのですが直っていないようです。ほぼ同じ内容のコードを含むファイルが複数ある等、改善した方が良い箇所があるのですが気長に待つ事にします。
# ずっと直っていないのですぐに直る
# 事は期待できないでしょうね。

バージョンアップに伴いコメント・トラックバックのモデレートができるようになりました。デフォルトがモデレートなのでコメント・トラックバックが即座に反映されません。面倒ですがスパムの量を考えると仕方ないです。

カテゴリー
Other

VAIO Z1をメモリ増設して延命

プリンストンテクノロジーのページを見ると自分が持っているVaio Z1は1GBのDIMMを付ける事ができるようです。Core2DuoのMac Bookを買おうかと思っていたのですが1GB DIMMに交換して少し延命する事にしました。どちらにしてもこのノートも捨てる訳ではないので512MB -> 1GB DIMMに交換しても良いかなと。

多分載せる事ができるだろうとは思っていましたがこれで安心して買う事ができました。ありがとうプリンストン :)

と言うことで今日、通販で買ったプリンストンのメモリ(バルクより高いですが情報提供料としてプリンストンテクノロジー製を購入。今値段を調べたらこのメモリ、買った時に比べてめちゃくちゃ安くなってますね…)が届きました。768MBと1256MBではWindowsの動作は雲泥の差です。メモリが少なくてディスクアクセスが多くて困っている方には、この手のアップグレードはお勧めです。
# 一部のVaio Z1には1GBのDIMMは付けれないようです。ご注意下さい。

ところでノートPC用の512MB DIMM(PC2100)が余ってしまいました。送付するのは面倒なので高松近郊にいらっしゃる方限定になってしまいますが、STLUGのオフ会に来れる方でこのDIMMが有効活用できる方であれば差し上げます。メール下さい。
# STLUGの方、私のブログ読まれているかな??

カテゴリー
Computer Linux Other

Flash Player 9 beta for linux

2006/11/20付けでBeta版のバージョンアップ行われたようです。IA64は出さないのかな?出してほしい。