OneThird CMS

Lightweight CMS for Small website, Web application framework.

Download Document

japanese

緊急リリース(v1.96β)について

現在、IPA様から脆弱性を数点指摘を受けております。

 

それぞれの現象はそれほど緊急度はないと判断しておりますが、逆にセキュリティ対策を入れたら改悪してしまう修正もありまして、そちらの方は十分検討後、後日アップデートします。(詳細は追記で)

 

さて緊急リリースについてですが、IPA様のご指摘とは別に非常にまずいバグが有りまして、どこが悪いと公開すると影響範囲がわからないような技術的なケアミスであって深刻度が判断できません。そこで緊急リリースさせていただくことになりました。

 

繰り返しになりますが、IPA様から指摘された問題は実使用上緊急度がさほど高くないと考えています。今回のバグはもっと根っこの単純なミスであり、初期から存在していたものです。リリース後かなりの時間が経過してセキュリティの専門家の方がツールを使って調べていただいているおかげで、そこまで深刻なものは残っていないと思いたいのですが、何しろ単純なミスだけに判断が付きません。


ですから、必ずバージョンアップしていただくようおねがいいたします。

 

ですが、緊急リリースのため、副作用も心配ですので、システムバックアップをした上で新バージョンにアップデートしていただくようおねがいいたします。

 

新バージョンは、バックアップツールを開くだけでダンロードできます。

  

また、副作用がありましたらここにコメントを頂ければできるだけ早く対応いたします。

  

追記:

IPA様から指摘されている中で、改悪に相当するところが、編集画面でのスクリプト貼り付けの禁止です。TwitterやYoutubeなどのコード貼付けを禁止するものであり、利便性が著しく低下すると思われます。

 

しかしながら昨今の時代の流れですので対応する予定です。ただ、スクリプト貼り付けの危険性をわかった上でご使用される方のために、解除オプションを準備する予定です。このあたりIPA様と調整が必要と思われますが、IPA様とのやり取りがトラブル続きで、すんなりいくか不明です。ですので本当に危ないところだけ、緊急リリースさせていただきます。

 

以上、よろしくお願いいいたします。