2021年11月10日
転載歓迎

Concrete CMS 8.5.7 リリースノート

2021年11月10日 (現地時間 11月9日) Concrete CMS (旧 concrete5) の最新版 8.5.7 がリリースされました。9月にリリースされた 8.5.6 で含まれていなかった脆弱性の修正や、バグ修正が含まれています。

ダウンロードページから、最新版をダウンロードできます。

8.5.7 リリースノート

原文

バグ修正

• コアのアップデート時にメモリー不足のエラーが発生する可能性があったリモートアップデーターがアップデート全体をメモリーに読み込んでしまう問題を修正しました。
• 管理画面でグローバルカレンダー権限を設定する際のエラーを修正しました。
• リセットされたユーザーがログインする際に、パスワードの変更が必要であることが適切に通知されない問題を修正しました(thanks hissy)
• 修正: reCAPTCHA が2分後にタイムアウトする (thanks JeffPaetkau)
• 修正：仏語バージョン8.5.5から8.5.6へのアップグレード時に"3つではなく2つの複数形"の致命的なエラー (thanks mlocati)
• コメント欄のエディターがリッチテキスト形式のとき動作しない問題を修正しました (thanks hissy)
• 一部の国際化において、URLの大文字・小文字を区別する問題を修正しました (thanks dimger)
• トピック属性の検索インデックスの内容の修正しました (thnaks hissy)
• メンテナンスモードの実行時に、HTTPエラーコード503を返すようになりました (thanks hissy)
• マイグレーションツールを使用して5.7からアップグレードしたサイトで「Call to a member function isDefault() on null」エラーが発生する問題を修正しました (thanks hissy)
• テキストエリア属性(リッチテキストエディター形式)タイプがツールバーを完全に表示していなかった問題を修正しました (注：将来的には、これをオプションにしたいと考えており、ユーザーにはこの小さくてサニタイズされたツールバーを使用することを強く推奨しています）
• ファイルマネージャーでパスワードが設定されているファイルは、リッチテキストエディターでインライン表示することができません。
• 修正: 管理画面でデータベースの文字セットを変更すると、エラーが発生する：call to a member function add() on null (thanks myq)

ライブラリアップデート

• CKEditor を4.16.1から4.16.2へバージョンアップ (thanks hissy)

セキュリティ修正

• CVE-2021-22966 を修正: Concrete CMS バージョン 8.5.6 以下では、グループを使用した編集者から管理者への特権昇格が発生します。グループに bulkupdate ページの "view" 権限が付与されている場合、特別に細工された curl を使用して、そのグループのユーザが管理者に昇格することができます。一括更新権限のセキュリティチェックを追加することで修正しました。ConcreteCMSセキュリティチーム CVSSスコアリング 7.1 AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H 発見者の功績。"Adrian Tiron from FORTBRIDGE ( https://www.fortbridge.co.uk/ )" この修正は、Concrete バージョン 9.0.0 にも含まれています。
• CVE-2021-40101 を修正: 管理者ユーザーは、ダッシュボードから他のユーザーのパスワードを変更する際に、自分のパスワードを提示しなければならないようになりました。具体的なCMSセキュリティチームのCVSSスコアリングは6.4 AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:Hです。発見の功績 "S1lky" です。この修正は、Concrete バージョン 9.0.0 にも含まれています。
• CVE-2021-22968 を修正: Concrete CMS File manager でリモートファイルを追加する際のバイパスにより、 リモートコードの実行が可能になっていました。tmp ディレクトリにファイルをダウンロードする前に、許可されたファイル拡張子をチェックする機能を追加しました。Concrete CMS セキュリティチームは、この問題に CVSS v3.1 スコア 5.4 AV:N/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N 報告してくれた Joe さんに感謝します。この修正は、Concreteバージョン9.0.0にも含まれています。
• CVE-2021-22951 を修正:「view_inline を使ってパスワードで保護されたファイルを権限のない人が閲覧できる」という問題がありました。Concrete CMS は view_inline でファイルにパスワードが設定されているかどうかを確認し、パスワードが設定されている場合はファイルのレンダリングを行わないようにしました。Concrete CMS セキュリティチームの CVSS スコアは 5.3 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 発見者のクレジットです。"Solar Security Research Team" です。この修正は、Concrete バージョン 9.0.0 にも含まれています。
• CVE-2021-40107 を修正: Stored XSS in comment section/FileManger via "view_inline" option のフォローアップ修正。バージョン8.5.6の修正では十分ではないとのことでした。Solar Security Research Team "に感謝します。現在、view_inlineでファイルにパスワードが設定されているかどうかを確認し、パスワードが設定されている場合は、そのファイルをレンダリングしないようにしています。具体的な CMS セキュリティチームの CVSS スコアは 5.3 です。AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N この修正は、Concrete バージョン 9.0.0 にも含まれています。
• CVE-2021-22967 を修正: 安全でない間接オブジェクト参照 (IDOR); 認証されていないユーザーが、会話中のメッセージにファイルを添付することで、制限されたファイルにアクセスすることができました。この問題を修正するために、「メッセージの追加／編集」でメッセージにファイルを添付する前に、ユーザーがファイルを閲覧する権限を持っているかどうかをチェックする機能を追加しました。Concrete CMS セキュリティチームは、この問題に CVSS v3.1 スコア 4.3 AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 報告してくれた Adrian H さんに感謝します。この修正は、Concrete バージョン 9.0.0 にも含まれています。
• CVE-2021-22969 を修正: SSRF 緩和策のバイパスを DNS リバインド攻撃で行い、クラウド IAAS（AWS など）の IAM キーを取得できるようにしました。この問題を解決するために、Concrete CMS はローカルネットワークからのダウンロードを許可しないようにし、ダウンロード時には DNS に頼らずに検証済みの IP を指定するようにしました。ConcreteCMSチームは、これにCVSS v3.1のスコア3.5 AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:Nを与えました。発見者です。Adrian Tiron from FORTBRIDGE (https://www.fortbridge.co.uk/ ) クラウドIAASプロバイダーの設定ミスは、Concrete CMSの脆弱性ではありませんのでご注意ください。この脆弱性を緩和するには、IMDSの設定がクラウドプロバイダーのベストプラクティスに従っているかどうかを確認する必要があります。この修正は、Concrete バージョン 9.0.0にも含まれています。
• CVE-2021-22970 を修正: Concrete はローカル IP のインポートを許可しており、 a. プライベート LAN サーバへの SSRF 攻撃、および b. DNS 再結合による SSRF 緩和バイパスに対してシステムが脆弱になっていました。現在Concreteは，リモートファイルアップロードインターフェースを介してすべてのローカルIPを無効にしています．この問題は、HackerOneレポート#1364797（Thanks Adrian Tiron from FORTBRIDGE (https://www.fortbridge.co.uk/)）および#1360016（Thanks Bipul Jaiswal）と共有されています。この修正は、Concrete v 9.0.1にも含まれています。

以上