NP_cles()
< 2023-03 >
12345678910111213141516171819202122232425262728293031
« :: »

NP_TrackBack v2.0.3jp7

 
投稿者:hsur 投稿日時:2006-11-26 - 15:36
カテゴリー:Plug-in - - トラックバック(default)- Views: 139

セキュリティに問題のあるコードの改善を行いました。

jp6以前のバージョンにはCSRF攻撃に対する脆弱性が存在するするほか、任意の第三者からの要求で任意のページに対してTrackBack Auto-Discoveryを行ってしまう脆弱性が存在します。後者についてはNP_0TicketForPluginで解決することができない脆弱性です。この脆弱性を利用された場合、第三者が自分のサイトを踏み台にして任意のページのTrackBackURLを収集する可能性があります。

これらの脆弱性はjp6以前のすべてのバージョンおいて存在していますので、jp7へのバージョンアップを強く推奨します。

ダウンロードはこちら
[NP_TrackBack v2.0.3 jp7][856clicks]
機能拡張版のNP_Trackback v2.0.3 jp8をリリースしています。

※使い方についてはplugins:trackback [Nucleus CMS Japan Wiki]を参照してください。

動作確認はNucleus 3.24(UTF-8)、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

[Changed] SpamChekについて微調整

NP_Blacklist jp9にあわせて微調整を行いました。

[Added] Ticket処理を追加(CSRF対策)

CSRF攻撃に対する脆弱性および、任意の第三者から任意のページに対してTrackBack Auto-Discoveryを行ってしまう脆弱性を修正しました。

[Fixed] URLに&が入っているときの動作を変更

URLに&が入っている場合に、実体参照(&amp;)についても認識するようにしました。

[Added] 管理画面にアイコンを追加

管理画面にアイコンを追加しました

    このエントリは役に立ちましたか?

      

    こんな記事もあります 「脆弱 Nucleus 任意
    教育用の穴だらけの Web アプリ「BadTodo」
    JPCERT/CC が CWE-1003 日本語訳を公開
    Windows Update の日( 2023 年 2 月 )
    VMware ESXi を狙ったランサムウェアが発生している
    SHA-1 は 2030 年 12 月 31 日までに廃止へ
    Windows Update の日( 2022 年 12 月 )
    am I infected? で自分のルーターをチェック
    四半期決算短信は任意に?
    Windows Update の日 ( 2022 年 10 月 )
    CCD センサーを EMI で攻撃する研究?

    トラックバックについて [policy]

    Trackback URL:
    Trackbacks
    FOAF を導入してみた。
    ……戦いは今もなお……じゃなくて(^_^;) -いっぽうその頃 Yahoo! ブログ転載問題は の記事がブックマークされたときに、 http://b.hatena.ne.jp/entry/http://hiro.intlcafe.info/item/1902 よく見ると -はてな...
    ひろの日記帳@International Cafeteria (2006/12/23 14:02)

    Comments [policy]

    mar wrote:

    お世話になっております。
    脆弱性対策お疲れさまです。
    早速バージョンアップさせていただきました。

    1つ、ご質問させていただいてよろしいでしょうか?
    いくつか、当方からトラックバックできないブログがあることが分かりました。
    現在確認してみた限りでは、

    OK
     MovableType、seesaa、北国tv、楽天、Yahoo!、teacup

    NG(管理操作履歴の内容)
     OCN(TrackBack Error:An error occurred: fatal error. (http://app.blog.ocn.ne.jp/t...))
     livedoor(TrackBack Error:An error occurred: Your TrackBack Cannot Be Received (http://app.blog.livedoor.jp...))

    です。こういった報告はありますでしょうか?
     現在2つのブログをNucleusで運営しておりますが、片方はv2.0.3jp7、片方は1.23bj7で、どちらでもエラーになってしまいます。
     最も考えられる原因は、私の「dyndns.info」ドメインのような気もするのですが、何かご指導頂ければ助かります。
     よろしくお願い致します。

    2006-11-27 23:06 <%HatenaAuth()%> 

    hsur wrote:

    ちょっとOCNについてのエラーについては良くわからないのですが、livedoorのエラーについては同様のエラーが出る事例を見たことがあります。

    ブログの設定によるのですが、livedoorは自分の記事内にトラックバック先のリンクを含まない場合にトラックバックを受け付けないようになっており、このチェックに引っかかった場合でるエラーが上記のものだったと記憶しています。
    http://blog.livedoor.jp/sta...

    念のためお聞きしますが、トラックバックをする前に相手先の記事へのリンクを張っていますよね?

    2006-11-28 01:16 <%HatenaAuth()%> 

    mar wrote:

    hsurさん、早速のご返答ありがとうございます。

    今回、livedoorを含め無料系のは自分でアカウント取ってテストしました。
    設定はどんなトラックバックも受け入れるようにし、かつエントリーにもリンクを張りました。
    それでもトラバは受け付けられず、管理操作履歴には同様のログが残ります。

    OCNは、アカウント持っている知人に協力してもらったのですが、ダメでした。
    OCNは以前はコメントも受けてくれなかったのですが、自分のブログのアドレス(discharge.dyndns.info)を入力せずに空欄にしたら受け付けるようになりました。今ではCaptchaが導入されて、アドレス入れてもコメントは受けるようになっていますが、トラバはダメみたいです。こちらはドメインで弾かれているような気もします。

    ちなみに、どのブログからもトラバの受信は問題ありませんでした。
    他にもいろんなブログ相手に試していきたいと思っています。ご迷惑でなければ、検証結果をまたご報告させて頂きたいと思います。

    2006-11-28 02:34 <%HatenaAuth()%> 

    hsur wrote:

    設定はどんなトラックバックも受け入れるようにし、かつエントリーにもリンクを張りました。
    それでもトラバは受け付けられず、管理操作履歴には同様のログが残ります。

    そうですか。こちらでも再度検証をしてみたいと思いますが、何らかのブラックリストに引っかかっているという可能性はありそうですね。

    他にもいろんなブログ相手に試していきたいと思っています。ご迷惑でなければ、検証結果をまたご報告させて頂きたいと思います。

    よろしくお願いします。僕1人でテストできる量は限られていますので、大歓迎です。

    2006-11-28 02:40 <%HatenaAuth()%> 

    サクラキャンドル wrote:

     本日NP_TrackBackをjp6からjp7にバージョンアップしたのですが、トラックバックURLが、
    jp6では、
    action.php?action=plugin&name=TrackBack&tb_id=1380
    であった部分が、jp7で、
    item_1380.html.trackback
    のようになってしまい、正常にトラックバックを受けることができなくなりました。
    MagicalURLを使用している場合、TrackbackURLの短縮を行うためにはプラグインの改造が必要なようで、短縮系のほうは使いたくなかったのですが、このバージョンから短縮URLがデフォルトになったということでしょうか?

    2006-12-03 20:02 <%HatenaAuth()%> 

    hsur wrote:

    ごめんなさい。配布しているアーカイブに問題があったため(僕がプライベートで使っている設定が混入してしていたため)短縮がデフォルトで有効になってしまっていたようです。

    ファイルを差し替えておきましたので、もういちどファイルの上書きをお願いします。

    2006-12-03 20:13 <%HatenaAuth()%> 

    サクラキャンドル wrote:

     すばやい対応ありがとうございます。
     ちょうど現在作業中だったので、助かります。ありがとうございました。

    2006-12-03 20:19 <%HatenaAuth()%> 

    TA17hFURU wrote:

    はじめまして。
    バグなのかどうかは分かりませんが、二つほど動作しなかったのでご報告させていただきます。
    当方の設定ミスや勘違いでしたらご指摘をお願いします。

    一つめは「言及リンクがなくてもTBを受付するか? (blogデフォルト)」の設定を「はい」にしていましたが、トラックバックが保留されてしまいました。
    二つめは「ping受付時にメール送信するか?」の設定を「はい」にしてメールアドレスを設定しておりましたが、メールが送信されませんでした。
    なお、トラックバックを送信したブログも受信したブログも、Nucleus3.23でNP_TrackBack v203jp7を使用しています。

    自身では全く原因が思い当たらないので、ご指導いただけますようお願いします。

    2006-12-11 16:36 <%HatenaAuth()%> 

    hsur wrote:

    トラックバックが保留になる原因は2つあります。1つは仰るとおり「言及リンクチェック」であり、これはオプションによって変更可能です。もう1つは、spamチェックになります。

    NP_Blacklist等のspamチェックプラグインを導入されていないでしょうか?

    トラックバックがspamチェックに引っかかると、自動的に保留され、メールも飛びません。この1つ目と2つ目は同時に発生したとするのであれば、spam判定された可能性が高いのではないかと思います。

    # NP_Blacklistをお使いであれば、そのログを確認してみてください。

    2006-12-11 19:06 <%HatenaAuth()%> 

    TA17hFURU wrote:

    # NP_Blacklistをお使いであれば、そのログを確認してみてください。

    導入しておりましたのでチェックしたところ、ご指摘通りspam判定されていましたので、wikiを参照して手を加えたところ、きちんと動作いたしました。

    お騒がせして申し訳ありませんでした。

    2006-12-12 15:09 <%HatenaAuth()%> 

    yu wrote:

    こんばんわ。
    毎度ながら便利に使わせてもらってます。

    管理ページのStoryリンクがこちらの環境でうまくいってなかったのでいじってみました。
    index.php内にある、
    $item['itemid']の記述を、$rrow['story_id']に変更するとうまく動いてます(ノーマルURLで確認)。

    2006-12-13 02:06 <%HatenaAuth()%> 

    hsur wrote:

    いま確認してみました。
    確かに記述が変ですね。修正しておきます。

    # ウチではなんでちゃんと動いてたんだろう。。。。。

    2006-12-13 02:19 <%HatenaAuth()%> 

    ひろ wrote:

    いつもお世話になっております。

    3日に差し替えられた版では解消しているようですが、hsur さんのパーソナルデータがソースに残っていた影響がこんなところに(^_^;)

    http://i.hatena.ne.jp/idea/...

    いちおうご報告まで。

    2006-12-23 10:21 <%HatenaAuth()%> 

    hsur wrote:

    ごめんなさい。
    おっしゃるとおり、現在配布版については正しいものに修正してあります。

    この件についてはちょっと気づくのが遅れたので、早めに導入していただいた方にはご迷惑をおかけしました。

    2006-12-23 19:11 <%HatenaAuth()%> 

    michito wrote:

    はじめまして。
    そしていつもお世話になっております。
    日本語環境では発生しないマイナーなバグなのですが、念のためにご報告させて頂きます。

    症状:
    nucleus3.24_ja_utf8にて、
    ブログの既定の言語をenglishへ設定すると、
    NP_TrackBack専用の管理画面(http://example.com/nucleus/...)が表示されません。

    Apacheのエラーログ:
    [error] PHP Parse error: parse error, unexpected ';' in /path_to/nucleus/plugins/trackback/templates/menu.html on line 27

    解決方法:
    該当ファイル(trackback/templates/menu.html)の27行目を下記の様に修正致しました。
    [修正前]<a href="<?php echo htmlspecialchars($manager->addTicketToUrl($CONF['AdminURL'].'index.php?action=pluginoptions&plugid='.$plugid);?>">Plugin Options</a>
    [修正後]<a href="<?php echo htmlspecialchars($manager->addTicketToUrl($CONF['AdminURL'].'index.php?action=pluginoptions&plugid='.$plugid),ENT_QUOTES);?>">Plugin Options</a>

    以上、お暇な時にでもよろしくお願い致します。
    よいお年を。

    2006-12-31 22:19 <%HatenaAuth()%> 

    hsur wrote:

    ありがとうございます。
    不具合、確認しました。
    次期版から修正した形でリリースします。

    2007-01-01 00:20 <%HatenaAuth()%> 

    mar wrote:

    以前、ご質問させて頂きましたmarです。
    本年もよろしくお願い致します。

    先日このエントリーでご質問させて頂いた「相手先(OCN、livedoor等)によってトラバを受け付けてもらえない」件ですが、このほど新たに.netドメインを取得したところ、無事解決致しました。
    やはりdyndns.org(.info)ドメインが原因だったようです。
    その後調べたのですが、明示こそされていないものの、スパムの発射基地としてブラックリストに載っているダイナミックDNS(主に海外のサービス)はあるようですね。

    また、私自身が勘違いしていたこともありまして、先に相手からトラバを頂いていた場合、それが「相手記事へのリンク」代わりになると思っていたのですが、本文中にきっちりリンクを張らないとダメなんですね。
    この辺の判定は相手のシステムによって変わってくるのかも知れませんが、これで解決できたところもありました。

    いずれにしましても、私の認識&検証不足で、大変お騒がせ致しました。
    今後もhsurさんのプラグインを愛用させて下さい!

    2007-01-08 03:21 <%HatenaAuth()%> 

    hs0810 [TypeKey] wrote:

    NP_TrackBack v2.0.3 jp7 をダウンロードしようと
    クリックするが、 Forriden になってしまう。

    当方環境:
    Mozilla/5.0 (X11; U; Linux i686; ja; rv:1.8.0.9) Gecko/20061219 Fedora/1.5.0.9-1.fc6 Firefox/1.5.0.9 pango-text

    2007-01-13 22:08 <%HatenaAuth()%> 

    hsur wrote:

    同じものはフォーラムにもアップしてあるので、こちらからダウンロードしてみてください。

    http://japan.nucleuscms.org...

    # 何かの制限にかかっていると思うので、時間があるときに調べておきます。

    2007-01-13 22:32 <%HatenaAuth()%> 

    Add Comments

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン