元記事はこちら。
CakePHPコアチームは 2.4.1 が入手可能になったことをお知らせいたします[1]。2.4.1は2.4系のバグフィックスリリースになります。
CakePHPコアチームは 2.4.1 が入手可能になったことをお知らせいたします[1]。2.4.1は2.4系のバグフィックスリリースになります。変更点の概要は以下のとおりです:
- APIドキュメントとAPIからブックへのリンクの改善
- LC_TIMEファイルをロードする際にnoticeエラーが出ないように修正
- TreeBehavior::generateTreeList() で、モデルのactsAsプロパティで定義されたスコープを含むようになった
- Shell コマンドで、readline のサポートが追加された。readline をサポートする環境下では、矢印キーで制御文字が出力されることはなくなった
- FormHelper::input() で、ラベルのキーで定義した属性を使用できるようになった
- Inflection サポートが改善された
- CakeTime::timeAgoInWords() のパフォーマンスが改善された
- ビヘイビアのコールバックメソッドの定義が修正された。PHP5.4を使用している場合は、E_STRICTエラーを解決するためにメソッド定義を更新する必要がある
- CROSS JOIN が正しく動作するようになった
- SqlServer::value() で、NULL値を正しく扱えるようになった
- Cache::clearGroup() で、FileEngine使用・プレフィックスなしの場合に期待通りの動作になった
- CakeEmailは英数字以外の未エンコーディング文字列のエイリアスに正しくクオートするようになった
- 電話番号のバリデーションを簡潔にし、有効なエリアコードが無効と検知されてしまう件を修正
セキュリティ面で発覚したこと
2.3.8で、AssetDispatcherのセキュリティの問題が修正されました。オープンで、透過的でありたいという点から、各問題に関して詳細を示すことにします。注意深く作成されたURLにより、AssetDispatcherは任意のファイルへアクセスできてしまいます。ひとつ以上のテーマかプラグインを使用した場合に攻撃成功するようです。たとえば以下のようなURLです:
http://example.com/DebugKit/%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e./etc/passwd
AssetDispatcherがURLのデコード前に誤ったチェックを行い、ディレクトリ・トラバーサルが発生してしまいました。Mitsui Bussan Secure Directions の Takeshi Terada 氏の報告に感謝します。
いつもながら、コミット、チケット、ドキュメントの編集ほか、このフレームワークに貢献してくれるすべての皆さんに深謝します。あなたがいなければCakePHPは存在しません。
パッケージリリースのダウンロード[2]