2022年11月4日 (更新)
転載歓迎
Concrete CMS 8.5.10~12 リリース
2022年11月1日 (現地時間10/30) に Concrete CMS 8.5.10、そして、11月2日(現地時間11月1日)、8.5.11 、11月4日(現地時間11月3日)に 8.5.12 がリリースされました。
Concrete CMS バージョン8系の Low から Medium の脆弱性などを修正したセキュリティマイナーバージョンアップです。
ダウンロードページから、最新版をダウンロードできます。
※2022/11/4 このページは「Concrete CMS 8.5.11 リリース」からタイトル・URLを変更いたしました。
8.5.10 リリースノート
バグ修正
- ZendCacheDriver が生涯有効期限プロパティをセットしない問題を修正しました (thanks hissy)
- legacy_salt 機能を読みやすくしました。
開発者向けアップデート
- 選択属性コントローラーの Private 変数を、Protected にアップデートしました (thanks biplobice)
on_get_page_wrapper_class()
カスタムイベントを追加し、開発者がメソッドによって CSS Class をカスタマイズできるようにしました。(thanks JohnTheFish)
セキュリティ修正
セキュリティ脆弱性の詳細はセキュリティに関する告知 (2022-10-31) をご覧ください。
Medium
- CVE-2022-43693 OAuth 認証にステートパラメーターを追加し、CSRF を防止するように。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43692 管理画面の検索ページで XSS を防ぐために出力をサニタイズするようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43694 画像編集ライブラリのAPIエンドポイント出力をサニタイズし、Reflected XSS を防止するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43967 管理画面の多言語レポートページの出力をサニタイズし、Reflected XSS を阻止するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43968 管理画面のアイコン出力をサニタイズし、Reflected XSS を阻止するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43686 無限 Cookie のパフォーマンスを向上させ DoS 攻撃を防ぐようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43691
$_SERVER
や$_ENV
出力を whoops のデフォルト出力から隠すようにし、余分な情報を漏洩しないようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。 - CVE-2022-43687 OAuth を通じて認証する際に、セッションIDを新しく生成するようにしまし、セッション固定化を防ぐようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- 管理画面のパンくず出力をサニタイズし、Stored XSS を防ぐようにしました。HackerOne で @_akbar_jafarli_for による報告 #1696363.
Low
- CVE-2022-43695 Stored XSS を防ぐために、エンティティアソシエーションのエンティティ名をサニタイズするようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43690 レガシーパスワードアルゴリズムの strict 比較をするようにし、整数変換が起こらないようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43688 Stored XSS を防止するために、Microsoft タイルアイコンをサニタイズ出力するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- CVE-2022-43689 SVG ファイルをサニタイズする際のエンティティ拡張を無効化し、DNSベースのIPアドレス漏洩を防ぐようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
ランク付なし
- 管理者に向けての警告を追加し、想定している以上の権限を与えていないかを確認するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
- グループの親グループを別の親グループに移動した時、親グループの権限も許可されつつ、以前の権限も保持されてしまうという警告を表示するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
8.5.11 リリースノート
バグ修正
- PHP 5.6 のサポートを復活
8.5.12 リリースノート
バグ修正
- 多くの PHP 5.x のサポート(thanks mlocati)
- PHP5 に対するテストを改善
以上