MODX Evolution 1.0.8Jをリリースしました
2013年1月11日 11時11分 shortlink:http://modx.jp/?id=876
本家版MODX Evolution1.0.8の緊急リリースに合わせ、日本語版1.0.8Jをリリースします。不具合修正を重点的に行なった安定版として利用できます。
注意事項
脆弱性情報について
11月26日に本家開発チームより告知された脆弱性対策に不具合があり、新しい脆弱性が発生しました。この対策を行なっていない環境に対しては、今回の脆弱性は存在しません。
本家版MODX Evolution 1.0.8は今回の脆弱性を修正するためにリリースされ、本家版1.0.7も対策対象となります。日本語版においてはコード構成の違いのため事情が異なり、日本語版1.0.5J-r11以降の環境であれば、今回の脆弱性対策として1.0.8Jアップデートを行なう必要はありません。
前回告知された脆弱性の対策として本家が示す手順で対策を行なった場合は、本家版同等のコードが再現されるため脆弱性が発生します。
日本語版1.0.5J-r10以前の環境または本家版に対して、日本公式サイトが配布する修正ツールを適用した場合も同等の脆弱性が発生します。
http://forum.modx.jp/viewtopic.php?p=5903#p5903
脆弱性があるかどうかよく分からない場合は、新しい修正ツールを実行すれば脆弱性の有無が分かります。
アップデートの手順
https://modx.jp/docs/update.html
上記を参照してください。
変更内容
脆弱性対策
- Forgot Manager Loginプラグイン - $_GET 変数の値の安全性を判定する処理を追加
- $modx->db->escape()関数で配列データを正しく処理できるよう修正
不具合修正
- Dittoでテンプレートをインライン記述した時に[~[+id+]~]が展開されないため修正
http://forum.modx.jp/viewtopic.php?p=5897#p5897 - 環境によっては新規インストール時に拡張機能がインストールされないため修正
- サンプルテンプレートがインストールされないため修正
機能追加
- TinyMCE - fullpageプラグインを追加(テンプレートとしてblankを選んだ時にツールバー左端に表示)
改善
- Forgot Manager Loginプラグイン - ログインリンクのURLを短くする
- イベントログの内容を詳細化(関数名だけでなくパラメータ値も出力)
- コンテンツ中の「2012」を「2013」に変更
- レポート→システム情報→詳細情報にmbstring.output_bufferingを追加
- テンプレート変数設定画面の入力オプションで使えるプレースホルダとして[+dbase+] [+prefix+]を追加
- リソースで指定しているテンプレートが存在しないときはエラー表示を行なうよう改善
その他
次回の1.0.8J-r1リリースは2月22日を予定しています。
気付いた点があればフォーラムまたは問い合わせフォームからフィードバックをお願いします。
