ようこそ! 株式会社アイビー・ウィー 2024/11/21 17:44 JST

セキュリティリリースGeeklog1.5.2sr4

  • 2009/04/18 23:44 JST
  • 表示回数 2,614

Geeklog1.5.2に対してセキュリティリリースが公開された。

http://www.geeklog.net/article.php/geeklog-1.5.2sr4

Nine Situations グループのBookooが古くから利用されているユーザセッティング(usersettings.php)においてSQLインジェクションがあると報告したが,今回のリリースで対策された。

変更すべきソースは,公開領域/usersettings.php のみ。Geeklogご利用の方は本家からダウンロードをどうぞ。

usersettings.phpは,日本語化にあたって,一切修正していないので,本家から配布されているusersettings.phpを差し替えるだけ。

Geeklog 1.5.2sr4 combo update (Geeklog1.5.2sr4コンボアップデート) installation recipe を公開した。自動インストーラでどうぞ。

http://hiroron.com/filemgmt/index.php?id=179

過去,Geeklogのセキュリティリリースは1年に1度くらいとほとんどリリースがなかったが,ここ1ヶ月の間に4度も立て続けに報告を受けてセキュリティリリースされている。

2009.4.18 sr4リリース
2009.4.13 sr3リリース
2009.4.4 sr2リリース
2009.3.30 sr1リリース

オープンソースを使うことにより,危険な箇所をこうやって多くの目でチェックされ,その都度本家から早急に対策されてくるのはありがたいことだ。

利用する立場としては,セキュリティリリースに早急に対応していくことが大事だ。

Geeklogは言語がプログラム本体から切り離されており,マルチバイト環境のサイトでも問題の無いCMSになってきている。このところのセキュリティリリースも,日本の携帯ハック対応が必要だったlib-sessions.phpのsr2を除き,sr1,sr3,sr4は本家配布版そのまま差し替えるだけ。これは大変ありがたいことだ。

そういう開発を続けるためにも,本家へのフィードバックを行って,日本からの要望も本家版に取り込んでもらい,日本でのハックを極力行わない開発体制が益々必要だとおもう。

将来も安心して使えるように,開発したものは積極的にフィードバックしていただきたい。それらを本家へもフィードバックすることもできる。ひとりでフィードバックしきれないときは,複数の開発者で応援書き込みも。

こういった体制で進めてきた結果,いくつかすでに本家版に取り込まれた。

開発したものを公開しないまま使っていくのは結果として開発成果を死蔵してしまうことになりかねない。公開していくことで他の開発者によってさらに進化して,必要なものは日本語版や本家版にさえ取り込まれる。本家版になったら,セキュリティ関係も厳重にチェックされていくのでさらに安心して利用されていく。

こうやってオープンソースは多くの知恵を結集してさらに強くなっていく。

2009.4.23 Geeklogセミナー「CMS比較」では,商用CMSのRCMSと昨年日本で紹介されたばかりのeZ Publishを招いてセミナーを開催するが,今回の一連のセキュリティリリースに関する話題や,Geeklog1.4からのバージョンアップなども話題にしたい。まだまだ参加者を募集中なのでどうぞ。