2008年5月07日の投稿

携帯対応プラグイン Ktai Style バージョン 1.34 リリース
絵文字対応の WordPress 携帯対応プラグイン「Ktai Style」のバージョン 1.34 をリリースいたしました。今回はセキュリティー修正を含んでおり、バージョン 1.20 以降の利用者はこのバージョンへの更新が必須です。変更点は以下の通りです。
- WordPress 2.3.3 以前において「絵文字投稿を許可する」設定にした場合、投稿本文にシングルクォート (‘) を含む場合に、投稿編集に失敗する不具合を修正しました。*** これは Ktai Style 1.20 〜 1.33 に存在するセキュリティー欠陥です ***
- WordPress 2.5 以降において、「絵文字投稿を許可する」設定でコメント編集をするとシングルクォート (‘) の前にバックスラッシュ (\) がついてしまう不具合を修正しました。
- ウィルコム絵文字で 0xF052 は「バイク」が正当なため、変換テーブル等を修正しました (従来は「船」だと思っていました)。
- Nokia 端末の判別で取りこぼしがあったのを修正しました (ソフトバンク X02NK など対応)。
- 投稿一覧で、ワード検索が正常に動作していなかった不具合を修正しました (Ktai Style 1.30 でエンバグ)。
- テンプレートタグ
ks_mb_get_form()
において、絵文字投稿の設定によってエスケープを外す/外さないの違いがあった問題を修正しました (エスケープありのままとしました)。
今回は単純なバグ修正ではなく、セキュリティー修正を含んでいます。ただし、攻撃を行うには当該ウェブログに投稿できる権限が必要なため、影響は軽微と思われます。編集機能のバグは、セキュリティー欠陥に繋がる恐しいものだったのですね〜〜。
正直なところ、WordPress の API に与えるデーターを「DB 用にエスケープしたものにする」というルールがいまいちに思います。WordPress 2.5 以降はプリペアードステートメントが導入されたので、「エスケープしないデーターを与える」方が自然に思えるのですが、そうするとプラグインの対応が大変になるかもしれません。だいたい、wp-settings.php で $_GET, $_POST
をまるごと magic_quote しているのは、安全ではあるもののいまいちですよね
Ktai Entry 0.8.1-beta1 (テスト版)
WordPress メール投稿プラグイン「Ktai Entry」の次期ベータ版(というか)テスト版を配布します。これは、「画像つきメールを送信すると、画像がメディアライブラリに登録されるものの、投稿本文にはテキストしか入っていない」という問題を解明するためのバージョンです。テスト版なので以下のような対応となっています。
- (APOP ではなく) POP の場合、メールボックスに新着メールがないとき Bad Gateway (== POP 設定不良) として処理していた問題を改善しました。
- 0.7.1 → 0.8.0 で省略してしまった処理を復活して様子を見る。
- ログを強化。デフォルトでログ機能が有効です。
不具合が発生している方は、ぜひ試用頂いて、確認を願います。不具合が発生していない場合は、通常の 0.8.1 リリースまでお待ちください。(通常の 0.8.1 ではログ機能がオフになるだけの予定ですが
[追記] 環境によっては、「画像が出ない」問題がまだ発生するようです。さらなる対処版を CVS に上げましたので、上記アーカイブから post.php だけ差し替えると、使うことができます。
[さらに追記] 1.00 までは「ベータ版」なので、ベータ版のベータ版となり、意味不明なので「テスト版」という名称にしてみました。