|
||||||
|
Written By:
川俣 晶 |
||||||
|
「メーリングリスト+電子掲示板=リスト板」を実現する「りすと亭」をバージョンアップしました。 新しいバージョンは4.19.0となります。 以下より入手できます。 今回のバージョンアップの変更点をここで解説します。 簡易httpd機能でcontent-lengthの値よりも実際のデータが短い場合、CPU負荷が100%になる問題を解消 §簡易httpd機能が、以下の条件を満たすリクエストを受信した場合、CPU負荷が100%になるという問題がありました。
こちらで確認した限り、不正アクセスのためのバックドアを仕掛けるアタック(XMLRPCの脆弱性を攻撃する)において、これに該当するリクエストが存在します。 ちなみに、りすと亭はXMLRPCに対応していないので、この種のアタックを受け付ける可能性はありません。 今回のバージョンでは、この問題を解消しました。不正なリクエスト(実際のデータ長さが一致しないリクエスト)に対しても、CPU負荷は100%になりません。 管理者権限でメンバーの電子メールアドレスを空白に変更できてしまう問題を解消 §このようなメンバーが存在すると様々なトラブルが発生します。 これを防止するために、チェックを強化しました。 これに伴い、内部で使用しているUIスキーマのシステムに新たにText型と異なるMailAddress型を拡張しました。これにともない、全般的なシステム(特にUI)に影響が及んでいる可能性があります。もし、何か従来と異なる挙動を確認された場合は、ぜひご一報下さい。 CSV入力で空白(長さ0)の電子メールアドレスを登録できてしまう問題を解消 §上記と同様の問題です。 |
