next »

[MEGU]

MODx 0.9.6.2 が正式リリースされました。

http://modxcms.com/forums/index.php/topic,28875.msg168044/boardseen.html#new
ざっと見ただけですが、問題になっていた、文字コード関係（SET NAMES vs SET CHARACTER SET）、
および、いくつかの脆弱性について修正されたとあります。また、インストーラが日本語に対応しました。
インストーラの中で、detect register_globals のチェックをするようになった...とあるようです。
（つーか、もともとのht.accessのなかで、頭の#外しておいて欲しい＞未確認なのでもしかしてなってるかも？）。

また、深刻な脆弱性CSRF について報告が上がっています。
http://modxcms.com/forums/index.php/topic,28881.msg175548.html
簡単に説明しますと、マネージャにログイン中に、罠リンクを踏むと、意図しない動作
（たとえば、ドキュメントの削除など）を実行させられるというものです。
（他分あってると思うんですけど）

これらの対策として、HTTP_REFERER チェックが施されたようです。
（svnをご利用の方はすでにご存じかと思いますが）。

ツール＞MODx 設定　の一番下に、「HTTP_REFERER チェック」という項目があります。
これらを「はい」にしてください。

また、この対処は、万全と言えるものではなく、完全にセキュアなコードを開発中とのこと（らしいです）。

取り急ぎ、ご報告～。フォロ～おねがいします～。

[MEGU]

それと、もしかすると、マネージャの言語ファイルが古い状態かもしれないので、
その場合は、以下からダウンロードして、該当ファイルに上書きしてください。

参照：トピは、こちら。言語ファイルのダウンロードも出来ます。

[yama]

言語ファイル、古い状態のようですね。

http://svn.modxcms.com/jira/browse/MODX-250
こちらに上げられているぶんですが、「Affects Version/s」が「0.9.6.1」となっているので
チェック対象から漏れたということはないでしょうか。
MEGUさんのアカウントで登録されたようですが、これを0.9.6.2に変更することは可能でしょうか。

[MEGU]

こんにちは。

こちらに上げられているぶんですが、「Affects Version/s」が「0.9.6.1」となっているので
チェック対象から漏れたということはないでしょうか。

あー？あれ？ちょっと記憶が曖昧なのですが、そうなってますね。。
これは、削除して新たに、作るようになると思います（修正というのはないような...）。
ryan氏へのメッセージの返事を待って、だめならやり直してみましょうか。

[yama]

さっそくライアンから返事来ました。0963で対応するとのこと。

[thr]

こんばんわ、ｔｈｒです。

さっそく入れてみました。
日本語インストーラだとなじみやすいですね。
しかし、データベースの設定画面のとき　入力を終えてデータベースの接続チェックをしたら　Warningの表示がでたけど、日本語の表示ではデータベースとの接続がOKだったので、気にせず進めて大丈夫でした。なんでしょ。まぁあまり気にせず進めてしまったのですが、、、 

言語ファイルの警告がやはり表示されますね。
明日にでも言語ファイルを更新してみようとおもってます。

深刻な脆弱性CSRF については
とりあえず、マネージャのツール＞MODx 設定の「HTTP_REFERER 」
Yes でいいんでしょうかね。一応Yesにしてみました。　これ、Meguさんが「はい」なのは言語ファイルが新しいからですかね。
「HTTP_REFERER 」の説明文も英語でした。

[MEGU]

> yamaさん。
...0963もあるのですね。。次は1.0かと思ってました。。（無理か...）。

＞thr さん。こんにちは。

深刻な脆弱性CSRF については
とりあえず、マネージャのツール＞MODx 設定の「HTTP_REFERER 」
Yes でいいんでしょうかね。一応Yesにしてみました。　これ、Meguさんが「はい」なのは言語ファイルが新しいからですかね。
「HTTP_REFERER 」の説明文も英語でした。

あ、ごめんなさい。「はい」なのは、新しいものだからです。。リリースされている0962のそこの部分は
英語の原文のままだと思います。ので、「yes」でOKです。

しかし、データベースの設定画面のとき　入力を終えてデータベースの接続チェックをしたら　Warningの表示がでたけど

もしかすると、MYsqlのバージョンのことを言われていませんでしたか？mysql5.0.5.1には
少し不具合があるらしくて、MODxのインストーラがそれをチェックしたときに警告を出します。

＞soushiさんの技術的なフォローが欲しい～。

[yama]

インストーラの日本語化が0.9.6.2で追加された新規の言語エントリーに対応してないので
対応しなくちゃいけないですね。俺も手伝うぞ！って方いらっしゃいますかー？

[yama]

しかし、データベースの設定画面のとき　入力を終えてデータベースの接続チェックをしたら　Warningの表示がでたけど、日本語の表示ではデータベースとの接続がOKだったので、気にせず進めて大丈夫でした。なんでしょ。まぁあまり気にせず進めてしまったのですが、、、 

ホントだ、Warning出ますね

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /www/install/connection.servertest.php on line 22

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /www/install/connection.collation.php on line 14

[yama]

ひとつはinstall/connection.servertest.phpの中の21行目あたりから、

    $mysqlmode = @ mysql_query("SELECT @@session.sql_mode");
    if (mysql_num_rows($mysqlmode) > 0){

このmysql_queryを実行した結果に関係してるみたいですね。
もうひとつもそんな感じ。

[yama]

mysql_query("SHOW COLLATION")を実行しようとしてWarningが出たりしてるので
MySQLのバージョンに関係しているのかも。僕が試したのはVer4.0.27（さくら）です。
エラーじゃないので無視してもいいのだとしたら、mysql_num_rowsの直前に@を付けて
@mysql_num_rowsとするとWarningの出力を抑制できます。

[yama]

おっと。0963はすぐに出すという情報をTwitterで見かけました。
乗っけてほしいものを整理しなきゃ。

[soushi]

なんだか呼ばれたようなので

もしかすると、MYsqlのバージョンのことを言われていませんでしたか?mysql5.0.5.1には
少し不具合があるらしくて、MODxのインストーラがそれをチェックしたときに警告を出します。

mysqlのバージョンは5.0.51になります。
SQLの「GROUP BY,ORDER BY」周りで致命的なバグが出ていたみたいです。
ただ、5.0.51はソース版では公開されてなくて、どこかのパッケージで出てただけだった記憶が。。。すいません、うろ覚えです。

あと、Warningの件です。

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /www/install/connection.servertest.php on line 22

ここではmysqlがSTRICT_TRANS_TABLESの設定が有効になってるかどうか調べているだけなので、別にWarningになってても問題なさそうです。
ちなみにSTRICT_TRANS_TABLESはmysql5.0.2から実装されてます。

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /www/install/connection.collation.php on line 14

インストール中にCollation(MySQLの接続照合順序)を選択する部分があると思うのですが、その中身をMySQLの設定から引っ張ってくるときにWarningになっているようです。
Collationがデフォルトで問題なければここも無視でいいと思います。

MySQL4.1系以上であれば多分、Warningはでなさそうな感じがします。

僕も時間見つけて0.9.6.2をインストールしないとなぁ

[yama]

今さらな疑問なんですが、MODxってMySQL4.0系だとどうなんでしょう。
今まで特に不具合は聞いたことがないですが、正式なアナウンスとしては
Ver4.1以上をということになってますよね？

[zephyr]

今さらな疑問なんですが、MODxってMySQL4.0系だとどうなんでしょう。

ウチでは以下の環境で社内イントラサイト運営中です。(0.9.6.1)
Langは他との絡みもあってEUC-JPですが何ら不具合ありません。
MySQL 4.0.24
PHP 4.4.2
Apache 2.0.55

[MEGU]

> soushi　さん。ありがとうございます。

あの...。私の書き方が悪かったのですが、セキュリティ関係の方で、
http://modxcms.com/forums/index.php/topic,28881.msg153249/boardseen.html#new
中断くらいに、このオプションが有効にならない環境の場合の説明がありますよね。

この場合、もしかすると、この機能のおかけで、マネージャそのものが上手く機能しない場合があるので、
ここをoffにするのだが、それだけではこの機能は完全にオフにならないので、データベースと、siteCache.idx.phpをいじってくれ。

と書いてあります？

それと、CSRF についての説明を、出来れば詳しくお願いしたかったのです。。すみません。。

[MEGU]

> yamaさん。

今さらな疑問なんですが、MODxってMySQL4.0系だとどうなんでしょう。

うちのサイトも、4.0系（4.0.27）ですが問題ないです（今後はどうかわかりませんが...）。
（検索関係使ってないし）

以前の動作環境は、
MYSQL 4.0以上（4.1以上を推奨）、になってたと思いますが、今見たら4.1以上になってますね。。
http://modxcms.com/faq.html

[Phize]

CSRFとリファラチェック機能について、自サイトからの引用ですが…。
環境によっては、リファラチェックを有効にしたあと、有効にしたリファラチェック機能のせいで、操作が不正と見なされて設定の変更が出来なくなります(?)。
その場合、データベースのsystem_settingsテーブルのvalidate_referer(setting_nameフィールド)の値と、siteCache.idx.phpの修正する必要があるということです。
(間違ってたらつっこみお願いします )

いつのまにか、フォーラムのfaviconが新ロゴになってる

MODx 0.9.6.1p2とそれ以前のバージョンにおいて、CSRF脆弱性が発見されている。該当するバージョンを使用しているユーザは適切な対策を行うことが望まれる。

CSRF脆弱性はCSRF攻撃の対象となる脆弱性で、正規のユーザに不正な操作を強いる攻撃である。

MODxにおいては、ユーザが正規のセッションにある場合(ログインしたままの状態)に、悪意ある者がユーザを特定のURIにアクセスさせることによって、ユーザが意図しない操作を強いられることになる。対象としては、ドキュメントの削除、リソースの削除、ユーザの削除など広範囲に渡る。これは、正規の権限を持つユーザが、意図しない内に悪意のあるURIにアクセスさせられ、自らの行動によって問題の操作が引き起こされるためである。

MODx 0.9.6.2においては、HTTPリファラによるチェック機能が搭載されており、この機能を有効にすることで、正規のドメインを経由しない操作が遮断されることになり、CSRF攻撃の可能性を軽減させることができる。具体的には、「ツール」→ 「MODX 設定」→「サイト」→「HTTP_REFERER チェック」を「はい」にすることで有効になる。

ただし、この機能は環境によっては正しく動作しないことがある(特に、リファラの送信を遮断するセキュリティソフトウェアを使用している環境など)。その場合には、HTTPリファラチェック機能を無効にする必要があるが、この機能を有効にした後ではマネージャにアクセスできなくなる可能性がある。そういった場合、データベースと/assets/cache/siteCashe.idx.phpを修正して、HTTP リファラチェック機能を手動で無効にする必要がある。

HTTPリファラチェック機能を手動で無効にするには、データベースのsystem_settingsテーブルの「setting_name」フィールドが「validate_referer」となっているレコードの「setting_value」フィールドを「0」に修正する。その後、 /assets/cache/siteCache.idx.phpの以下の部分を同様に「0」に修正する。

$c['validate_referer'] = "0";

このように、HTTPリファラチェック機能は完全なものではなく、今後の開発の中で、より適切な対策を行うように改善していくとのことである。

MODxに対するCSRF攻撃への対策として、0.9.6.2にアップグレードし、HTTPリファラチェック機能を有効にすること、あるいは、必要な操作が完了した後には、必ずログアウトすることが望まれる。

MODx 0.9.6.2は日本語環境で文字化けが発生することが判明した。まもなく、0.9.6.3がリリース予定であり、それまでセキュリティ面に注意しながら、アップデートを待ったほうがよさそうだ。

[MEGU]

Phize さん。ありがとですぅぅぅぅ～。。。