元記事はこちら。
CakePHPコアチームはCakePHP 1.3.18 と 2.4.8 が入手可能になったことをお知らせいたします。これらのリリースにはセキュリティフィックスが含まれているため、SecurityComponentを使用しているすべてのデベロッパにおすすめするものです。
CakePHPコアチームはCakePHP 1.3.18 [1] と 2.4.8 [2] が入手可能になったことをお知らせいたします。これらのリリースにはセキュリティフィックスが含まれているため、SecurityComponentを使用しているすべてのデベロッパにおすすめするものです。
2.4.8の変更点の概要は以下のとおりです:
- SQLServerで、テーブル取得時にスキーマ名を正しく追加できるようになった
- Hash::extract() はブール値の属性にマッチするようになった
- シェル使用時に fclose() エラーが発生しなくなった
- CakeResponse::file() で、「..」を含むパスは例外を送出するようになった
- ShellDispatcherで、引数を配列にキャストするようになった。cliでない環境のSAPIからcakeコンソールを呼び出した場合の問題を修正
- TextHelper::autoLink() で、サブドメインに「\_」が含まれる場合でも正しくURLをリンクできるようになった
- SecurityComponentで、フォーム改ざん対策のハッシュはハッシュ入力にURL、クエリ文字列を含むようになった
1.3.18の変更点の概要は以下のとおりです:
- モデルの条件に「:」や「?」を含む場合でも適切に処理できるようになった。条件内でキャストする場合などの問題を修正
- SecurityComponentで、フォーム改ざん対策のハッシュはハッシュ入力にURL、クエリ文字列を含むようになった
上述のとおり、SecurityComponent関連の障害が修正されました。これらのリリースはSecurityComponentを使用するすべての皆さんにアップグレードをおすすめするものです。以前のリリースでは、SecurityComponentを使用したフォームでもフォーム改ざん対策を発動させずに任意のアクションに対して送信できてしまいます。同一のモデルを操作する複数のPOSTフォームがあるアプリケーションでは、Mass Assignment問題の攻撃を受けやすい状態になっています。CakePHPチームにこの件を知らせ、修正の提案を行ってくれたKurita Takashi氏に感謝します。
コミットやチケットやドキュメントの編集など、このフレームワークに貢献してくれるすべての皆さんに深謝します。あなたがいなければCakePHPは存在しません。
「CakePHP 1.3.18 と 2.4.8 がリリースされました」への1件のフィードバック