シコーサクゴ Geeklog

[重要] サイトカレンダmycaljpプラグインのバージョン2.0.6以前にXSS(クロスサイト・スクリプティング)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、最悪の場合、

• GeeklogのログインID・パスワード流出
• フィッシングサイトへの誘導
• 他サイトを攻撃する踏み台にされる

などの危険性があります。
この問題の影響を受けるmycaljpプラグインのバージョンを以下に示しますので、該当のmycaljpプラグインを使用されているサイト管理者の方は速やかにバージョンアップを行ってください。
更新版は以下のリンクからダウンロードできます。

サイトカレンダ mycaljp プラグイン Ver.2.0.7

影響を受けるバージョン

• サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで

※ バージョンナンバーは、サイト管理者(管理権限を持つユーザ)でログインし、管理者専用メニューからプラグイン管理にアクセスすれば確認できます。

また、当該プラグインは以下のパッケージにも含まれています。

• Geeklog1.5.0からGeeklog1.5.2までの日本語パッケージ拡張版
  ただし、リリース日が2009-06-29以前のパッケージ

※ 日本語パッケージ拡張版のリリース日は、パッケージに同梱されているrelease_jp.phpの$release_dateの値で確認できます。

なお、以下のパッケージは影響を受けません。

• Geeklog オリジナル版 (http://www.geeklog.netで公開されているパッケージ)
• Geeklog 日本語パッケージ通常版 (拡張版ではないもの)

関連情報

JVN#20478978 Geeklog サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性

謝辞

この脆弱性情報は、JPCERT/CC から当サイトへご報告をいただきました。
JPCERT/CC および IPA へ本脆弱性情報をご報告いただきました 大野雅子様 に厚く御礼申し上げます。

ナビゲーション管理プラグイン Navman を公開します。
このプラグインはヘッダーメニューなどのナビゲーションを設置したり、管理するプラグインです。
拙作のCustomMenu Editor プラグインから発展したものですが、機能はかなり向上しました。

パンくずリストやブロックメニューなども設置出来るようになりました。

Geeklog1.6.0b3がもうそろそろ公開されそうですが、この時期に出すにあたり、いろいろ悩んだ結果、Geeklog1.6.0以降用としての公開です。

同梱のヘッダーメニュースタイルは３つだけですが、今後バリエーションを増やして行きたいなー。

本当に久しぶり。
Geeklog1.6.0b1に思い切ってアップグレード。
そして、実はGeeklog1.5用として作成していた、Smallboxes_type3にテーマを更新してみた。
たまには模様替えをしてみると、新鮮な気持ちになれますな。

Geeklog 1.5 のプラグインがどのように変わったかの確認も兼ねて、汎用プラグインツールキットのGeeklog1.5専用版を作成してみました。

links,polls,calendar,staticpagesなどの標準プラグインのコードを見ながら、できるだけGeeklogシステム上の標準的なコーディングを心がけながら、プラグインテンプレートを作成しています。

コンフィギュレーションGUIなどGeeklog 1.5で導入された機能に対応するプラグインが比較的容易に作成できると思います。
また、プラグイン作成支援スクリプトのmake_pi.phpもいろいろ機能拡張を行っており、プラグイン作成がさらに簡単になっていると思います。

サイトカレンダ mycaljp プラグインをダウンロードセクションに公開しました。

今回は、Geeklog1.4.1用のmycaljpのアップデートという形になりますが、新たにGeeklog1.5でも動作するように修正を加えました。 Geeklog1.5から搭載されたコンフィギュレーション機能への対応は、次回のバージョンで対応したいと思います。

Geeklog1.5への対応だけの予定でしたが、プラグインバージョンが正常に更新されない問題が発覚したので、その修正も行っています。 このため、全てのファイルを上書きした後、プラグインエディタでいったん削除し、改めてインストールする操作を行って下さい。

CustomMenu Editor プラグインをダウンロードセクションに公開しました。

Geeklogの場合、config.phpの $_CONF['menu_elements'] の設定変更と、CUSTOM_menuEntries 関数の組み合わせで、ほぼ自由にメインメニューのエントリーをカスタマイズできるわけですが、PHPプログラムの知識や、エディタでの編集が必要であり、とても面倒でした。

CustomMenu Editor プラグインは、これをほぼ解消し、気軽にメニューの編集が行えるようになります。私自身もかなり重宝しています。

コンフィギュレーションエディタの Modified 版（要するにハック版）をダウンロードセクションに公開しました。

Geeklogの設定をブラウザで手軽に行える機能はそのままに、個人的なこだわりを注入してみました。

結構使いやすくなったのではないかと思うので、Geeklogユーザの方に気軽におためしいただきたいと思います。

同プラグインはGeeklog日本語パッケージに標準搭載されていますので、ほぼすべての人が利用されているのではないかと思いますが、それなら単に上書きするだけでインストールは完了です。

サイトカレンダ mycaljp 2.0.0 をダウンロードセクションに公開しました。

これまで mycaljp はPHPブロック関数の形で公開していましたが、機能強化を図るためプラグインに変更しました。

主な強化機能は、

• 複数のプリセットテンプレートを用意（現在３種類）
• 管理画面で手軽にコンフィギュレーションが可能
• マルチランゲージに対応
• Ajaxにより月めくりが軽い
• アクセシビリティに配慮

などです。

なお、プラグイン版を導入する前に、必ずPHPブロック関数版をアンインストールする必要があります。

Article_ex プラグインのバージョン1.0.1をダウンロードセクションに公開しました。

<geeklog_dir>/system/lib-story.php を編集するための、置換用コードの間違いを修正しました。
また、comment_exテーブルのusernameフィールドの有効文字列長が短すぎたので変更しました。

初期バージョン1.0.0をダウンロードされた方には誠に申し訳ありませんが、再度ダウンロードのうえアップグレードしてください。
アップグレードの仕方は、一般的なGeeklogのプラグインと同様です。