2008年5月07日の投稿

2008-05-07
晴れ

携帯対応プラグイン Ktai Style バージョン 1.34 リリース

Ktai Style 1.32 サンプル画面

絵文字対応の WordPress 携帯対応プラグイン「Ktai Style」のバージョン 1.34 をリリースいたしました。今回はセキュリティー修正を含んでおり、バージョン 1.20 以降の利用者はこのバージョンへの更新が必須です。変更点は以下の通りです。

  • WordPress 2.3.3 以前において「絵文字投稿を許可する」設定にした場合、投稿本文にシングルクォート (‘) を含む場合に、投稿編集に失敗する不具合を修正しました。*** これは Ktai Style 1.20 〜 1.33 に存在するセキュリティー欠陥です ***
  • WordPress 2.5 以降において、「絵文字投稿を許可する」設定でコメント編集をするとシングルクォート (‘) の前にバックスラッシュ (\) がついてしまう不具合を修正しました。
  • ウィルコム絵文字で 0xF052 は「バイク」が正当なため、変換テーブル等を修正しました (従来は「船」だと思っていました)。
  • Nokia 端末の判別で取りこぼしがあったのを修正しました (ソフトバンク X02NK など対応)。
  • 投稿一覧で、ワード検索が正常に動作していなかった不具合を修正しました (Ktai Style 1.30 でエンバグ)。
  • テンプレートタグ ks_mb_get_form() において、絵文字投稿の設定によってエスケープを外す/外さないの違いがあった問題を修正しました (エスケープありのままとしました)。
ダウンロード: ktai_style134.tar.bz2 (196.4 KB)
バージョン 1.35 をリリースしました。

今回は単純なバグ修正ではなく、セキュリティー修正を含んでいます。ただし、攻撃を行うには当該ウェブログに投稿できる権限が必要なため、影響は軽微と思われます。編集機能のバグは、セキュリティー欠陥に繋がる恐しいものだったのですね〜〜。

正直なところ、WordPress の API に与えるデーターを「DB 用にエスケープしたものにする」というルールがいまいちに思います。WordPress 2.5 以降はプリペアードステートメントが導入されたので、「エスケープしないデーターを与える」方が自然に思えるのですが、そうするとプラグインの対応が大変になるかもしれません。だいたい、wp-settings.php で $_GET, $_POST をまるごと magic_quote しているのは、安全ではあるもののいまいちですよね ;-)

Ktai Entry 0.8.1-beta1 (テスト版)

ゆりこ による 19:57:49 の投稿
カテゴリー: WordPressハック
タグ: ,

WordPress メール投稿プラグイン「Ktai Entry」の次期ベータ版(というか)テスト版を配布します。これは、「画像つきメールを送信すると、画像がメディアライブラリに登録されるものの、投稿本文にはテキストしか入っていない」という問題を解明するためのバージョンです。テスト版なので以下のような対応となっています。

  • (APOP ではなく) POP の場合、メールボックスに新着メールがないとき Bad Gateway (== POP 設定不良) として処理していた問題を改善しました。
  • 0.7.1 → 0.8.0 で省略してしまった処理を復活して様子を見る。
  • ログを強化。デフォルトでログ機能が有効です。
ダウンロード: ktai_entry081-beta1.tar.bz2 (62.5KB)
テスト版その2を出しました。

不具合が発生している方は、ぜひ試用頂いて、確認を願います。不具合が発生していない場合は、通常の 0.8.1 リリースまでお待ちください。(通常の 0.8.1 ではログ機能がオフになるだけの予定ですが ;-)

[追記] 環境によっては、「画像が出ない」問題がまだ発生するようです。さらなる対処版を CVS に上げましたので、上記アーカイブから post.php だけ差し替えると、使うことができます。

[さらに追記] 1.00 までは「ベータ版」なので、ベータ版のベータ版となり、意味不明なので「テスト版」という名称にしてみました。