元記事はこちら。
CakePHPコアチームは2.3.8[1] と 2.2.9[2] が入手可能になったことをお知らせいたします。このリリースはセキュリティフィックスを含んでおり、全てのCakePHP開発者におすすめいたします。
CakePHPコアチームは2.3.8[1] と 2.2.9[2] が入手可能になったことをお知らせいたします。このリリースはセキュリティフィックスを含んでおり、全てのCakePHP開発者におすすめいたします。2.3.8の変更点の概要は以下のとおりです:
- APIドキュメントの改善
- I18nShell はプラグインモデルのバリデーションメッセージを正しく抽出するようになった
- ServerShell はクエリ文字列パラメータを使用した静的アセットを正しく提供するようになった
- ServerShell はdocument_rootパラメータを正しく使用するようになった
- Inflector でいくつかの単語の複数形が追加された
- HTTPレンジを使用したファイルのレスポンスが正しく動作するようになった
- 2.3.7のAuthComponentで導入された、アプリケーションをサブディレクトリで動作させている場合のredirectUrl()のバグが修正された
- Paginationで、ソートのホワイトリストは暗黙のうちに信頼されるようになった。ホワイトリストフィールドについては追加のバリデーションは必要ない。カラムを合成したフィールドや、カスタムのfindでjoinにより列を追加した場合の処理を簡素化できる。
上述の通り、AssetDispatcherに関連したセキュリティの問題は修正されました。テーマ外のアセットを使用するアプリケーションや、組み込みのAssetDispatcherを使用したプラグインを使用するアプリケーションで、このアップグレードは重要です。セキュリティの問題について連絡し、再現手順を示してくれたMitsui Bussan Secure DirectionsのTakeshi Terada氏に深謝します。充分な移行期間ののち、この脆弱性についてさらに説明する予定です。
コミット、チケット、ドキュメントの編集ほか、このフレームワークに貢献してくれるすべての皆さんに深謝します。あなたがいなければCakePHPは存在しません。