sb開発研究所

sb 0.20

ver 0.20を公開しています。

英語版ヘルプドキュメントを仮完成させるまで公開しないつもりでしたが、管理操作に関する重大な脆弱性を発見したので、緊急公開します。

具体的には悪意のある第三者から管理者に対して記事全削除などの操作を容易に誘導出来うるという問題です。

(すでに制作者の方には連絡がいっているようですが)Movable Typeにも同様の脆弱性があるようです。手法自体は少しだけ手間がかかるのですが、ここでは詳細は触れないでおきます。

ver 0.20では以下のバグを修正しました。

ver 0.20では以下の仕様変更があります。

とりっぷ◆あい: 以前からtrackbackする際にバグレポしようと思って忘れていた件ですが、lib/lang/ja/script.js の line124、
var sc = nowTime.getMinutes()
↓
var sc = nowTime.getSeconds()
ですよね。en/script.js も同じく。; 2004/08/15 23:09

tera: 不具合？報告です。
タイトルに「&」を入れるとXML出力するときに次のエラーが出力されます。

(ここから)----------------------------------
XML ページを表示できません
XSL スタイルシートを使用した XML 入力は表示できません。エラーを訂正してください。 [更新] ボタンをクリックするか、または後でやり直してください。

--------------------------------------------------------------------------------

セミコロン ( ; ) が必要です。リソース 'http://prius.sakura.ne.jp/sb/log/atom.xml' の実行エラーです。ライン 476、位置 26

<title>MDパクパク&iPod打ちゲーム</title>
-------------------------^

(ここまで)----------------------------------
「&」を「+」に変更すると直りました。

以上です～。; 2004/08/17 00:28

takkyun: ＞＞とりっぷ◆あいさん
＞＞teraさん
ご指摘感謝です。
手元のバージョンでは修正しておきました。; 2004/08/17 09:53

takaryu: ふと思い立って、JUGEMからのデータ移行をテストしてみました。
最初はローカル環境でやってみたんですが、なんかおかしかったので、AAA!CAFEとロリポップでやってみましたがやはり同じ状況でした。
コメントとトラックバックが取り込めず、またエントリー全てに空のトラックバックが1つついた状態になっています。テスト設置のURLを書いておきます。
http://tkmix.net/sbtest/; 2004/08/17 18:30

takaryu: 追記です。
JUGEMの方のSimple XML形式のファイルがどうなったか確認してみたんですが、原因はJUGEMの方ですね。
コメントが無く、トラックバックには時刻だけが入っていました。
以上ご報告まで。（って知ってるかな？; 2004/08/17 18:39

Sierra: こんにちは、Sierraです。

現在、sb 0.20を使っています。
以前に、カタカナの「ロ」を使った記事のタイトルが化けるということで修正していただきましたが、ファイルのアップロードの時に「ロゴ」など、カタカナのロを使った名前にするとこちらも文字化けするようです。; 2004/08/23 15:16

YM: すみませんYMと言います。sbを利用させていただいてます。
今回0.20にVUPしてからCSSテンプレートが保存できなくなりました。保存して「保存しました」と出るのですが実際見てみると保存されてないのです。私だけでしょうか？; 2004/08/24 22:40

仁里: 初めまして。大変使いやすく、ありがたく使わせていただいております。
上のYMさんに同じく、Ver.0.20にしたところCSS・HTML共変更後の保存が出来なくなりました。やはりOKのサインは出るのですが、編集画面にも反映されていません。
現在0.19に戻して使用していますが正常に保存されています。; 2004/08/25 11:17

abb: 初めまして。昨日v0.20をインストールさせて頂きました。いくつか気になる点がありましたのでご報告です。
・JUGEMログのファイルからの取り込みがうまくいきません。42件のメッセージのハズが、1件の空メッセージになります。
URLからの取り込みはうまくいきました。
・空トラックバックを全削除しましたが、サイドメニューにはカテゴリタイトルが残ったままでした。data/trackback.cgiの値が全件数値のままだったところ0に変更したら直りました。もしやとコメントも1件入れて削除してみましたが、data/message.cgiが1のままでしたので、手動で0に変更後再構築で直りました。
・環境設定を変更すると、ウェブログの説明内の改行部分に%%nと入ります。次回変更時には%%%%%%%%nとどんどん長くなっていきます。未解決です。; 2004/08/25 13:18

takkyun: 頂いた不具合などはこちらで確認してフィックスさせていただきます。

諸事情により、しばらくお返事が滞るかと思います。

以上、よろしくお願いします。; 2004/08/25 13:36

Trackback URL : http://serenebach.net/sb.cgi/161

sb2.0にバージョンアップ: sbが2.0にバージョンアップしています。今すぐバージョンアップした方がよさそうですよ。記事全削除なんかされた日にゃ、JUGEM難民の皆さんは泣くになけないですからねえ・・・。sb開発研究所英語版ヘルプドキュメン...; LOVE!? | 2004/08/13 18:54

sb Ver.0.20 緊急リリース: 「管理操作に関する重大な脆弱性を発見したので、緊急公開します」とのことですので、実運用している sb ユーザーは入れ替え必須でしょう。お盆で帰省中の人も多いと思いますが、こういうセキュリティ絡みのことはで...; Tedious Days More | 2004/08/14 00:12

sb 0.20導入: 『sb 0.20』にバージョンアップしました。。表示変わってませんが…爆とりあえず不具合ないんで、正式版までバージョンアップ必要ないかな？なんて思ってたんですが『sb開発研究所』さんによると英語版ヘルプドキュメ...; ひいろんＢＬＯＧ | 2004/08/14 09:48