セキュリティ修正版リリース – CakePHP 2.1.5 と 2.2.1

元記事はこちら
by markstory

CakePHP2.1.5と2.2.1のリリースをお知らせいたします。CakePHPのXMLクラスを使用しているかたは、できるだけ早くアップグレードすることをおすすめします。


最近、セキュリティの問題についてPaweł Wyleciał氏より報告されました。ユーザーが提供したXMLを受け付ける場合、外部エンティティを使用して任意のファイルを読み込むことができてしまいます。これはWebサービスの一部としてXMLを受け付けるシステムにおいて極めて危険なものです。一例は以下のようなものです。


curl -X POST -H 'Content-Type: application/xml' locahost/posts -d '<!DOCTYPE cakephp [ <!ENTITY payload SYSTEM "file:///etc/passwd" >]> <Post> <body>&payload;</body> </Post>]'

XMLが処理されると、$this->request->data['Post']['body']/etc/passwd の内容が読み込まれます。この問題は修正済で、2.1と2.2のパッケージも作成されています。この問題は1.3系および1.2系には影響ありません。アップグレードできない場合は、このパッチをできるだけ早く適用してください。

2.2.1のほかの修正点

セキュリティの問題の修正の他に、以下の点も改善されています。

  • ネストした名前付きパラメータをurlencodeするように修正
  • Windows端末上でANSIコードが出力される問題を修正
  • HtmlHelper::image()で、フルベースオプションが使用されている場合に、ベースディレクトリが2回含められてしまう件を修正
  • シェルのコンソールログがquietモードに対応
  • TranslateBehaviorが、レコード保存時に翻訳されたフィールドのみを対象とするよう修正
  • ビヘイビアで、2.2.0で欠落したafterValidate()が使用可能になった

2.2.1の変更点の一覧を見る
2.1.5の変更点の一覧を見る
パッケージリリースのダウンロード

CakeFest 2012が近づいており、素晴らしい講演とワークショップがいくつも予定されています。まだチケットを購入していないのであれば、そろそろいかがでしょうか

いつもながら、パッチやチケットやドキュメントの編集など、このフレームワークに貢献してくれるすべての皆さんに深謝します。あなたがいなければCakePHPは存在しません。

リンク

[1] http://cakephp.org/changelogs/2.2.1

[2] http://cakephp.org/changelogs/2.1.5

[3] http://github.com/cakephp/cakephp/tags

[4] http://cakefest.org

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です