2016年5月5日
転載歓迎
アドオン ProEvents に脆弱性。最新版へのアップデートを強く推奨
concrete5 でカレンダーを使ったイベント告知ができる ProEvents アドオンに脆弱性が発見されました。最新バージョンでは、その脆弱性が取り除かれています。
ProEvents をお使いのユーザーの皆様は、早急に、最新版へのアップデートをお願いします
アップデートの手順
- 現在の concrete5 サイトをバックアップ
- concrete5 を、現時点の最新版である 5.6.3.4 か 5.7.5.7 までアップデート。
- ProEvents を [管理画面] - [concrete5 を拡張] からアップデート
- 管理画面からアップデート出来ない場合は、security@concrete5.org か、当サイトお問い合わせまで連絡ください
アドオンのセキュリティについて
concrete5 では、コア本体のセキュリティ脆弱性については、HackerOne という脆弱性報告サービスを使って、世界から脆弱性の報告を受けていましたが、
concrete5 コミュニティでは、アドオンやテーマが 100% 安全であるという保証はできません。しかし、審査員である PRB (Peer Review Board) では、新しいアドオンの自動テストと目視での確認を行ない、脆弱性がないかを確認しています。しかし、PRB はアップデート版の審査を行っていません。
コミュニティが約束できるのは、脆弱性が見つかれば、コミュニティでは最大限の努力をして解決に向かう努力をすることです。
脆弱性を発見した場合、可能であれば HackerOne まで報告をお願いします。 HackerOne は、ソフト制作者と報告者がオープンかつセキュアなコミュニケーションを行い、脆弱性に対応できるようにしたサービスです。詳しくはこちら。
もしも、セキュリティに関する心配事がありましたら、英語では security@concrete5.org か、当サイトお問い合わせ まで報告願います。
関連リンク
- Security issue in ProEvents, what happened and what’s next.
- 今回の経緯と concrete5 コミュニティとしての対策についての詳細レポートです。
- ProEvents (5.6)
- ProEvents (5.7)
- 脆弱性を発見したら
この件を報告してくださった方、対応にあたったコミュニティ関係者の方に感謝します。
セキュリティチームの募集
concrete5 コミュニティでは、セキュリティチームに参加してくださるボランティアメンバーも募集しています。
以上