QM+(QuickManager) にXSS脆弱性・対策パッチ配布
2009年10月19日 00時00分 shortlink:http://modx.jp/?id=136
modxプラグインのQM+(QuickManager) にXSS脆弱性が発見されました。QM+はmodx1.0.0から同梱されているプラグインであり、影響を受けるmodxは次のとおりです。
- modx 1.0.0J(日本語版)
- modx 1.0.0(本家リリース版)
今回発見された脆弱性にQM+の利用の有無は関係ないため、プラグインの設定画面上でQM+を無効にしてもリスクを回避できません。また、1.0.0よりも以前のバージョン(modx0.9.6.3等)はQM+が同梱されていないため、この脆弱性の影響を受けませんが、別途QM+をインストールしている場合はその影響を受けます。
なお、QM+自体は最新のバージョン1.3.3で問題が修正されています。
[QuickManager+ version 1.3.3]
http://modxcms.com/forums/index.php/topic,38606.msg245756.html#msg245756
日本版modxではXSS脆弱性を修正したバージョンmodx1.0.0J-p1をリリースしました。新規にmodxをインストールする場合はこちらをお使いください。本体の不具合ではないため今回はインストーラでのアップデートには対応しません。また、脆弱性の影響を受けるmodxを利用している方は以下のいずれかの対策を行ってください。
対策1:QM+を最新版1.3.3へアップグレードする
QM+を脆弱性が修正されたバージョン1.3.3以上にバージョンアップします。
対策2:修正パッチを適用する
modx 1.0.0J、modx 1.0.0用のパッチを用意しました。手軽に適用できるため推奨します。
http://modx-ja.googlecode.com/files/patch_modx-1.0.0J_qm.zip
ファイルをひとつ上書きするだけです。configやデータベースの更新作業などは不要です。解凍すると中にreadme.txtがあるので、そちらの指示に従ってパッチの適用を行ってください。
対策3:QM+を削除する
QM+を利用しなければQM+を削除しても構いません。管理画面上でQM+を削除した上、/assets/plugins/qm/以下のファイルを全て削除する必要があります。また、QM+全てを削除しなくても、以下のファイルを削除するだけでも脆弱性を回避できます。
/assets/plugins/qm/close.php