元記事はこちら。
CakePHPコアチームは CakePHP 2.6.8 が入手可能になったことをお知らせいたします。これは2.6系のメンテナンスリリースになります。
続きを読む CakePHP 2.6.8 がリリースされました
元記事はこちら。
CakePHPコアチームは CakePHP 2.6.8 が入手可能になったことをお知らせいたします。これは2.6系のメンテナンスリリースになります。
続きを読む CakePHP 2.6.8 がリリースされました
本日(5/28)、2.6.6をリリースしました。これはphpのバージョンが5.4以下の場合にシンタックスエラーを起こします。2.6.7でそれを修正しました。もしphp5.4.0以下で動作させているのであれば、2.6.6ではなく2.6.7にアップグレードしてください。
セキュリティフィックスを含んでいたため、リリース前にすべてのphpのバージョンで動作するかという通常の手順を経ませんでした。これは間違いであり、二度と起きないよう注意いたします。
訳者注:githubのリンクはこちら。
今週のはじめに、巧妙に作成されたリクエストからサービス不能に陥る攻撃を作成できてしまうというRequestHandlerComponent の脆弱性についてお知らせしました。RequestHandlerComponent は Xml::build() を使ってローカルファイルの読み込みを許してしまいます。
RequestHandlerComponent を使用するすべてのアプリケーションでアップグレードを行なうか、XMLペイロードの構文解析を使用しないことをおすすめします。XMLペイロードの構文解析の使用を停止するには、以下のように行います。
// コントローラのbeforeFilterで $this->RequestHandler->addInputType('xml', function() { return []; });
上記のコードにより、組込まれているXMLパーサを何も処理しないファンクションに置き換えることができます。セキュリティ問題の報告(日本語)から知らせてくれた Takeshi Terada さんに感謝します。
訳注:原文はこちら。
バグレポートやプルリクエストによりこのリリースに関わってくださったコミュニティの皆さんすべてに感謝しています。
githubよりパッケージリリースのダウンロード
CakePHP コアチームは CakePHP 2.6.5 が入手可能になったことをお知らせいたします。これは2.6系のメンテナンスリリースになります。
2.6.5 の変更点の概要は以下のとおりです。
このリリースに関わってくださった皆さんに感謝します。バグチケット、ドキュメントの編集、パッチやプルリクエストはCakePHPを大いに活かし、支えるものです。
githubよりパッケージリリースのダウンロード