MODX Evolution 1.0.6J-r4をリリースしました(2012/7/4：追記有)

2012年6月30日 23時45分 shortlink：http://modx.jp/?id=831

いくつかの脆弱性の解決とPHP5.4対応、システムで用いるパス情報の改善などを主な内容とする安定版です。

※2012/7/4追記…eFormのXSS脆弱性に関して過去のMODX用パッチをリリースしました。詳細は本ページ末尾をご覧ください。

MODX Evolution 1.0.6J-r4 ダウンロード

http://code.google.com/p/modx-ja/downloads/detail?name=modx-1.0.6J-r4.zip

注意事項

Captcha画像の処理の流れを変更しました

コア領域への直接的なhttpアクセスを避けるため、action.phpを経由してCaptcha画像の生成を行なっておりましたが、この処理に脆弱性がありました。(※すでにパッチを提供済み)
今回のリリースでは基本的な考え方を変更し、汎用的な中間処理を行なうaction.phpを廃止し、Captcha画像の生成のみを目的とするcaptcha.phpに差し替えました。eFormなどでCaptcha画像を利用している場合はアップデートする必要があります。
eFormをアップデートしない場合はパッチを適用してください。

ImageEditorを削除しました

設計が古く一部のモダンブラウザで正しく表示されないImageEditorを削除しました。ディレクトリごとシステム内にコピーすれば使えるようになります。
(※manager/media/ImageEditorディレクトリを既存のMODXパッケージからコピーして使うこともできます。ただし脆弱性のチェックが不完全なのでご注意ください)

アップデートの手順

https://modx.jp/docs/update.html

上記を参照してください。

当バージョンをPHP4.4.x環境にインストールする場合

当バージョンはPHP4.4.x環境で運用できる最終バージョンです。

http://code.google.com/p/modx-ja/downloads/detail?name=autoload.zip
PHP4.4.x環境にインストールする前に、上記のパッチを適用しておく必要があります。

変更内容

脆弱性対応

eFormのXSS対策
ログイン時にaction.phpの存在をチェックし、問題のあるコードが含まれている場合は削除を促す
veriword.phpへのアクセスをaction.phpからcaptcha.phpに変更
mutate_settings.ajax.php セキュリティ強化

新機能・新しい仕様

PHP5.4対応
グローバル設定に新しいconfigを追加 - $modx->config['docid_incrmnt_method'](リソースIDの自動増分)
base_urlをconfigに追加・FIX
$modx->getDocumentObject()関数のパラメータ指定を改善
投稿画面のエイリアス入力欄を改善
OnLogPageHitイベントのタイミングをページ出力の直前(OnWebPagePrerenderの直前)に移動
リソース一覧の並び順を非公開リソースが先に並ぶように調整
リソース一覧の並び順をpublishedon順に変更
複数リソースを移動する時、サブリソースのエイリアスを初期化しない

不具合修正

[(base_url)]の管理を改善(MODXをサブディレクトリにインストールした時などに問題があったため)
Chromeでリソースツリーのクリックが動作しなくなることがあるため修正
http://forum.modx.jp/viewtopic.php?f=7&t=860
veriword.phpで$modxインスタンスを生成できないため修正
キャッシュがバイパスモードの時にメンテナンスモードのページ表示制御ができないため修正
メンテナンス中ページのIDを指定している場合、トップページのみメンテナンスモードにならないため修正
siblingオプション設定時にルート直下のリソースのデフォルトテンプレートのセットが正しくないため修正
メンテナンスモード中にパスワードリセットが機能しない
https://github.com/modxcms-jp/evolution-jp/issues/14
MODxMailerで文字化けが発生するケースがあるため修正