セキュリティフィックス:CakePHP 2.3.5がリリースされました

元記事はこちら
by lorenzo

我々のコードに対してセキュリティ監査を行った結果、現在のCakePHPリリースに対するセキュリティリスクに対するパッチを行いました。


CakeRequestのwebrootプロパティによってハンドリングされる特定のページでクロスサイト・スクリプティング攻撃を引き起こす可能性があるとして、重大な問題の修正のためにCakePHP2.3.5がリリースされました。充分なアップグレードの移行期間ののち、この脆弱性と、攻撃の手法について説明する予定です。

CakePHPコードに対するセキュリティ監査を実施してくれたFlorian Krämerと、パッチ候補の連絡と提供をしてくれたCarl Suttonに深謝します。

セキュリティフィックスに加え、以下の変更を実施しました:

  • 古いCentOSサーバーとPHPの正規表現の処理方法に対する互換性の向上
  • 整数(int)の最大値でページネーションのリミットがオーバーフローする件を修正
  • FormHelper::postLink()で生成されるIDが確実にユニークになるように調整
  • TextHelperのオートリンクユーティリティのバグを修正

CakePHP2.x系をお使いのすべてのユーザに、できるだけ早く新しいリリースにアップグレードすることをおすすめします。

リンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です