「メーリングリスト+電子掲示板=リスト板」を実現する「りすと亭」をバージョンアップしました。
新しいバージョンは4.19.0となります。
以下より入手できます。
今回のバージョンアップの変更点をここで解説します。
簡易httpd機能でcontent-lengthの値よりも実際のデータが短い場合、CPU負荷が100%になる問題を解消 §
簡易httpd機能が、以下の条件を満たすリクエストを受信した場合、CPU負荷が100%になるという問題がありました。
- httpdヘッダーにcontent-lengthの情報が存在する
- 実際に送られてくるデータサイズがcontent-lengthの指定値よりも小さい
こちらで確認した限り、不正アクセスのためのバックドアを仕掛けるアタック(XMLRPCの脆弱性を攻撃する)において、これに該当するリクエストが存在します。
ちなみに、りすと亭はXMLRPCに対応していないので、この種のアタックを受け付ける可能性はありません。
今回のバージョンでは、この問題を解消しました。不正なリクエスト(実際のデータ長さが一致しないリクエスト)に対しても、CPU負荷は100%になりません。
管理者権限でメンバーの電子メールアドレスを空白に変更できてしまう問題を解消 §
このようなメンバーが存在すると様々なトラブルが発生します。
これを防止するために、チェックを強化しました。
これに伴い、内部で使用しているUIスキーマのシステムに新たにText型と異なるMailAddress型を拡張しました。これにともない、全般的なシステム(特にUI)に影響が及んでいる可能性があります。もし、何か従来と異なる挙動を確認された場合は、ぜひご一報下さい。
CSV入力で空白(長さ0)の電子メールアドレスを登録できてしまう問題を解消 §
上記と同様の問題です。
