cha-ki-sho

以下を参照：

• 緊急：アメリカ合衆国のインターネット検閲を止めろ（Urgent: Stop [U.S.] American censorship of the Internet 日本語訳） (YAMDAS Project)
• American Censorship Day November 16 - Join the fight to stop SOPA

ということで、アメリカでは Mozilla や Wikimedia Foundation, Free Software Foundation といったネット上で有名な団体・組織も参加して、反対運動が行われている模様です。

アメリカで安易な過剰規制がかかると日本でも影響が出るでしょうから、心配なところです。

b2evolution公式フォーラムの「b2evolution 4.0.3 Vulnerability」でのやり取りによると、b2evolution 4.0.4以前にクロスサイトスクリプティング(CSS/XSS)脆弱性があるそうです。

対策を施したb2evolution 4.0.5が3月23日にリリースされています。

私のほうで手元の2.4.7日本語改造版を4.0.5にバージョンアップする余力がないので、ひとまず2.4.7の該当する部分を修正したものを作ってみました。後述のZIP書庫ファイルを展開して出てきた _param.funcs.php ファイルを、元のファイルと（バックアップをとった上で）差し替えてください。

自分用に作っただけであまりきちんと動作検証できてないので、もしこれを利用する方がいらっしゃいましたら、あくまで一時しのぎくらいに考えておいてください。

[b2evolution 2.4.7日本語周り改造版用修正ファイル]
b2evolution-2.4.7-xss-fix-20110325.zip

ファイル・サイズ: 15,447 bytes,
MD5: 1ebb26161723b42e50108456e8b45342 ,
SHA1: a55fc67971669590b1dfb9344472f6a4f435562c
（ここXREA.COM無料サーバからのファイルのダウンロードは、混み合う時間帯には特に、途中で中断してしまう場合がありますので、ダウンロード後にファイル・サイズを確認して、もしサイズが小さい場合はダウンロードしなおしてみてください）

今回の脆弱性公開のごたごたについて雑感

以下は余談になります。

今回の脆弱性報告は、3月15日にAutoSec ToolsのJohn Leitch氏がb2evolution公式フォーラムに「脆弱性を発見しました。こちらにメールをくれれば詳細を教えます。（要約）」という主旨の書き込みをしたところから始まっているのですが、当初は「14日間待ってから公開する (we will disclose this vulnerability in a public advisory 14 days after this notification.)」と述べていたにもかかわらず、実際にはわずか18時間で公開しており、AutoSec Tools側の言動が一貫していないことに問題を感じます。

フォーラム上で「デマではないか」「広告・宣伝活動ではないか」「脅迫っぽく感じる」などの反応が一部ユーザーたちからあったことで、AutoSec Tools側が腹を立てたのではないかとも想像できますが、最初に14日待つと言ったものを18時間後に自ら反故にするのは、ちょっといただけません。

公開の約5時間前（最初の書き込みから約13時間後）には、アクティブメンバーの一人が「私のほうにメールを送ってください。適切な内容なら、Françoisさん（プロジェクト管理者/メイン開発者）にも転送しますよ。（要約）」と書き込みをしていただけに、AutoSec Tools側がどういう理由で即日公開に踏み切ったか、理解ができません。

非常に今更ですが、b2evolution 2.4.7 "Tilman" の日本語対応に関する改造です。
（2.4.7本体の入手は、公式サイトの以前のバージョンのダウンロードページから可能です）

7ヶ月前のリリースですからね。もし待っていた方がいらしたら、本当に申し訳ありませんでした。

今回の改造内容は、以前の記事「b2evolution 2.4.6 の日本語周りの改造」と同じですので、説明や注意事項はそちらを参照してください。

余談ですが、現行のバージョン3.x系の日本語対応改造をやるかどうかはまったく未定です。申し訳ありませんが、期待はしないでいてくださると助かります。

改造差し替えファイル

以下が、改造部分の差し替えファイルをまとめたアーカイブ・ファイルです。差し替えファイルで既存のファイルを置き換えてください（バックアップを取るのを忘れずに）。

2.4.7用の日本語メッセージファイルは作成していませんのでご注意ください。以前の記事「b2evolution 2.4.6 の日本語周りの改造」を参照して、日本語メッセージファイルを別途入手して利用してください。

b2evolution-2.4.7-japanese-mod2009-12-31.zip

ファイル・サイズ: 223,864 bytes,
MD5: 51ebd0b7b9460227cf4a94fdeabfefdb ,
SHA1: 3aa12365b38dac1b6f713638eace00b39eb10bb1
（ここXREA.COM無料サーバからのファイルのダウンロードは、混み合う時間帯には特に、途中で中断してしまう場合がありますので、ダウンロード後にファイル・サイズを確認して、もしサイズが小さい場合はダウンロードしなおしてみてください）

b2evolution 2.4.6 "New Year" の日本語対応に関する改造です。

今回の改造差し替えファイルは、公開前の動作確認をほとんどしていませんので、問題が起こるかもしれません。使用される際は、各人でテストされた上でご利用いただきますようお願いします。

以下、説明（ほぼ以前の使い回し）と、改造差し替えファイルのダウンロードリンクを記述します。

単に使ってみたいだけという方は「前置き」以降の説明文は読まず、「はじめに」と「改造差し替えファイル」だけ読んで利用していただいて構いません。ただ、どこに変更を加えていて、どの機能は手付かずなのか知りたくなった時など、それ以外も参照してみてください。

（例えば、多くの方が興味があるのに、私の改造で手を付けていない部分の最たるものは、「メールによる記事投稿」機能の日本語文字化けです。修正のための動作検証に手間もかかりますし、たとえ文字化けを直しても、主に需要のある添付ファイル付きメール投稿、いわゆる写メール投稿には元々b2evolutionが対応していませんから、あまり必要性は無いと思っています）

1月16日追記：トラックバック受信時の文字セット指定で、問題のあるものが指定されていないかどうかの簡易チェックを追加しました。すでに以前の改造差し替えファイルを適用した方で、特にPHP 5.2.6以前、4.4.9以前で運用されている場合は、新しい改造差し替えファイルに置き換えてください。

続きを読む »

b2evolution 2.4.5 "Monument Valley" の日本語対応に関する改造です。

以下、説明（ほぼ以前の使い回し）と、改造差し替えファイルのダウンロードリンクを記述します。

単に使ってみたいだけという方は、「前置き」以降の説明文は読まず、「はじめに」と「改造差し替えファイル」だけ読んで利用していただいて構いません。ただ、どこに変更を加えていて、どの機能は手付かずなのか知りたくなった時など、それ以外も参照してみてください。

（例えば、多くの方が興味があるのに、私の改造で手を付けていない部分の最たるものは、「メールによる記事投稿」機能の日本語文字化けです。修正のための動作検証に手間もかかりますし、たとえ文字化けを直しても、主に需要のある、添付ファイル付きメール投稿、いわゆる写メール投稿には元々b2evolutionが対応していませんから、あまり必要性は無いと思っています）

続きを読む »