MODx ～0.9.1 脆弱性情報

ちと身内に不幸がありまして、こちらの更新も滞っておりました…orz
ちょっとづつ復帰してますのでがんがります、はい。

というわけで早速なんですが、4/15にMODxにクロスサイトスクリプティング脆弱性(一息で言うのはちとつらい？)が発見された模様です。公式フォーラムでも修正指示部分が読めますので、そちらの情報を元に manager/includes/document.parser.class.inc.php  を開いて getDocumentIdentifier関数を置き換えてください。

ちなみに、ボーデンプラッテさん所で具体的な修正部分が解説されてますが、PHPのソースコード読める人は、実際に修正が入ったソースコード読むとどういう脆弱性なのかは大体ピンとくるかな…？ 要は引数のチェックしてない関数があったんですな(^^;;

ところで、クロスサイトスクリプティングってなぁに？って方は⇒わかりやすいXSS解説

一言で書いてしまうと、SQLインジェクションは正規のSQL文を置き換えてしまえる脆弱性ですが、XSSは任意のサイトのスクリプトを呼び出せてしまう脆弱性なわけです。

これを機会に少しMODx本体のソース見てますが、バリバリのオブジェクト指向ですなぁ～。ソース自体はすっきりとしていて読みやすそうですが、本格的にHackし出すときりがなさそうなんで、まずはスペニット弄る程度に抑えておきますｗ

で、MODxはCMSなんですから、これを使ってサイト構築＆運用しないと意味がないですよね。公式サイトの日本語フォーラムとか読んでると、何気にDreamwaver使いのデザイナーさんがMODxに興味を持ってるパターンが多いようですね。DreamwaverからMODxのドキュメント/テンプレートとSyncできる機能がつくと爆発的にユーザーが増えるんじゃないかと…わくわく。DWがアップロードしたファイルをMODxで読み込ませるだけなんで、インポート機能を少し弄ればそういう機能を実装できるかも…。というか、そもそもおいら今はDreamwaver持ってないよorz

気を取り直して。。。今は会社で新設しようとしていたサイトをMODx用に置き換えようと自力でテンプレートの書き換えをがんばってます。元々a-blogをCMS的に使おうと思っていたんですが、どうも 色々と制約が多くて…。ドキュメントが整備されていない割には内部が隠蔽されてるんで、デザイナーさんにもあまり評判が良くありませんでした。a-blogはMTより好きなんですが、やはりblogシステムをCMSとして運用するのには限界がありますよね。

でも会社でa-blogのビジネスライセンスを買ってしまったので、時期を見て再び検証してみるつもりです。1年ぐらい放置しちゃうと多分1.31のテンプレートは使えないだろうなぁ…。

[同日追記]

公式サイトのダウンロードアーカイブも0.9.1aに差し替えられている模様ですが…Mac OS Xでアーカイブしたと思われるフォルダ管理ファイルがアーカイブに混入してますね…(^^;;　中の人も焦っていたのでしょう。面倒な人はここから落として解凍し、manager/includes/document.parser.class.inc.php を差し替えてくださいな。（というか、おいらも手動で書き換えると改行コードの関係か動作が変になったので差し替えました）