2021年9月17日
転載歓迎
Concrete CMS 8.5.6 リリースノート
2021年9月17日 (現地時間 9月16日) Concrete CMS (旧 concrete5) の最新版 8.5.6 がリリースされました。現在、Version 9 の開発や新しいコミュニティサイトの構築に力を注いでおり、8.5.5 は主に様々なバグ修正などを行っています。セキュリティ修正も行っているため全ての Concrete CMS サイトのアップデートをおすすめあします。
ダウンロードページから、最新版をダウンロードできます。
8.5.6 リリースノート
新機能
- 管理者がセッションクッキーのさまざまな設定を行うことができる「セッションオプション」を管理画面に追加。
機能向上
- ページが正確に設定されていない場合のフルページキャッシュのエラーを修正
- PHP 7.3および7.4で "Consider warnings as errors "が設定されている場合に発生するエラー/警告の修正 (thanks arielkamoyedji)
- CKEditorのリンクダイアログ(Sitemap、Browse Server)を閉じた後、ページがスクロールできなくなった問題の修正 (thanks hissy)
- Facebookアカウントをユーザープロフィールと連携する際のエラーを修正 (thanks biplobice)
- 一部のケースでアンケートやカレンダーイベントのダイアログが消えてしまう問題を修正 (thanks hissy)
- 言語切り替えブロックを使って言語を切り替える際のバグ修正 (thanks biplobice)
- 管理画面でチャンネルロギングの設定を保存できない問題を修正 (Thanks Hmone23)
- レイアウトをブロックの上に移動できないバグを修正 (thanks Haeflimi)
- 8.5のファイルマネージャーで、マルチファイルセレクターで単一のファイルを選択したときのバグを修正(thanks deek87)
- 現在のユーザが作成したページの下書きを表示するように修正 (Thanks hissy)
- ユーザーセレクタの属性が検索できない問題を修正(注:正しく検索できるようにするには、属性を再作成する必要があります)
- ページネーション付き検索ポップアップのバグ修正 (thanks deek87, hissy)
- REDISをキャッシュに使用した場合のページのデフォルトでの403エラーを修正 (thanks deek87)
セキュリティ修正
- Hackeroneレポート1102067(CVE-2021-40097)を修正:正規表現を追加することで管理ユーザーがパス・トラバーサルによってリモートコード実行につながる脆弱性の修正
- Hackeroneレポート1102080(CVE-2021-40098)を修正:正規表現を追加することで、外部フォームからのリモートコード実行につながるパストラバーサル。
- Hackeroneレポート982130(CVE-2021-40099)を修正。concrete5 からの update json スキームの取得を (HTTP ではなく) HTTPS で行うようにすることで、リモートコード実行に繋がる脆弱性を修正しました。
- Hackeroneレポート616770(CVE-2021-40100)を修正:コメント欄のエディタがリッチテキストに設定されている場合のコメント欄(クライアントと管理者の両方)における蓄積型クロスサイトスクリプティング。
- Hackerone レポート921288(CVE-2021-40102)を修正: PHAR デシリアライゼーションによる任意のファイル削除を修正しました。
- Hackeroneレポー1063039(CVE-2021-36766)を修正: ディレクトリ入力フィールド内で phar:// を許可した場合のセキュリティ問題。(thanks deek87)
- Hackeroneレポート1102211(CVE-2021-40103) を修正: 任意ファイルの読み込みとサーバーサイドリクエストフォージェリに対するパストラバーサル。
- Hackeroneレポート1102088(CVE-2021-40104)を修正: コアの SVG サニタイザーをこのサードパーティライブラリ darylldoyle/svg-sanitizer と入れ替えることで SVG サニタイザーのバイパスが可能になります。
- Hackeroneレポート1102054(CVE-2021-40105)を修正: 会話オプションのMarkdown EditorクラスのXSS脆弱性を修正しました。
- Hackeroneレポート1102042(CVE-2021-40106)を修正:ブログのコメント(ウェブサイトのフィールド)に保存されているxssを許可しない
- Hackeroneレポート1102020(CVE-2021-40107)を修正: "view_inline" オプションを介したコメント欄/ファイルマネージャー での XSS の保存
- Hackeroneレポート1102018(CVE-2021-40108)を修正: "/index.php/ccm/calendar/dialogs/event/add/save" エンドポイントで ccm_token が検証されるようにコアを調整しました。
- 2つの CVE に分かれていた Hackeroneレポート1102225を修正: 攻撃者がトピックやファイルを複製することで、UI の不便さやディスクスペースの枯渇につながる可能性があります。CVE-2021-22949 に関して: ファイルマネージャーでファイルを複製する際に CSRF トークンをチェックする機能を追加しました。CVE-2021-22953 に対するものです。サイトマップでトピックを複製する際、CSRF トークンをチェックするようにしました。
- Hackeroneレポート1102177(CVE-2021-22950)を修正: コメント欄の添付ファイルを削除するアクションにおける CSRF を修正するため、コメント欄の添付ファイルを削除する際に ccm_token を検証するようにコアを更新しました。
- Hackeroneレポート1102105(CVE-2021-40109)を修正: 報告された SSRF 脆弱性を修正するため、コアが更新され、アップロード時のリダイレクトを無効にし、リダイレクトを追わずにリクエストを送信する http クライアントメソッドを追加し、多くの url/IP 保護機能を実装しました (例: big endian urls のブロック、IP バリアントのインポートのブロック、16 進数/ octal/ long IP からのインポートの防止)
開発者向けアップデート
- (N/A)
以上