XOOPS Cube Legacy 2.1.8a リリース
XOOPS Cube 2.1.8 以前に存在するセキュリティホールに対するバージョン Package_Legacy 2.1.8a をリリースします。
-フルパッケージのダウンロード
-パッチパッケージのダウンロード
-リリースログ
[pagebreak]
■2.1.8からのアップデートの方法
(1)念のためXCLサイトのバックアップを取ります。
(2)管理画面からサイトを一時的に閉じます。
(3)パッチパッケージをダウンロードし、解凍して差分ファイル群を取り出します。
(4)差分ファイルの位置が合うようにして、ファイルをアップロードします。
(5)管理画面からサイトの一時的な閉鎖を解除します。
■2.1.7以前からのアップデートの方法
XAMPP のようなローカルサーバー上にバックアップデータをインポートした上でのテストを推奨します。
まず、既存の環境を壊さずに済むように、フルパッケージを解凍してできあがったディレクトリから mainfile.php と favicon.ico、install ディレクトリを取り除いてください。次に、フルパッケージのファイルを(ローカル)サーバーへアップロードして上書きします。
最後に、管理画面のモジュール管理へ行って、赤いアイコン(アップデートを促すアイコン)が表示されているモジュールを片っ端からアップデートすれば完了です。
■スタッフリスト
- kilica
- Marijuana
- Mikhail
- xoopserver
■更新内容
[セキュリティパッチ]
- Fix Bug #3078705 - include/notifycation_update.php SQL インジェクションの修正
[サードパーティライブラリ]
- Fix Bug #2686348 - Smarty 2.6.26 へアップデート
- Fix Bug #2666664 - Snoopy 1.2.4 へアップデート(Marijuana さんによるパッチ適用)
コメント(1)

ごめんなさい。PHP5用のコードが紛れていました。
PHP4.* を使われていて、2011/11/14 8:30AM頃以前にダウンロードしてしまった方は大変申し訳ありませんが、以下のどちらかでご対応いただけますでしょうか。
・再度ダウンロードしhtml/kernel/notification.phpをサーバにコピーする(修正版に差し替えました)
・html/kernel/notification.php l.194 を、
function _escapeValue($value, $type=XOBJ_DTYPE_STRING)
のように "protected" という文字を削除する。
#PHP5.*をご利用の方は必要ありません。