cha-ki-sho

追記：XML-RPC for PHPのバージョン1.1.1では修正が不十分だったということで、バージョン1.2が出ています。b2evolutionの修正ファイルもこれに合わせて新しいものが出ました。「cha-ki-sho - XML-RPC for PHP 1.1.1以前の脆弱性」に新しい情報を記載しました。

Secuniaから出た勧告「XML-RPC for PHP PHP Code Execution Vulnerability」のXML-RPC for PHP 1.1.0以前のセキュリティ欠陥について、b2evolutionもXML-RPC for PHPを使用しているので、影響を受けます。これはリモート（外部）から任意のPHPコードを実行させられる危険な欠陥です。

b2evolution 0.9.0.12 “Amsterdam” 用の修正ファイル が出ています。これはb2evolutionで使用しているXML-RPC for PHPを、欠陥が修正されたバージョン1.1.1に変更するものです。b2evolutionをお使いの方は、すぐに適用してください。0.9.0.12だけでなく、0.9.0.x系すべてに適用可能なはずだということです。

やり方はリンク先のページ「b2evolution: b2evolution News - Fix for XML-RPC vulnerability」に書いてある通りですが、記事の patch file と書かれたリンクからダウンロードページに移動しますので、そこからダウンロードした xmlrpc_fix_111.zip を展開し、出てきた _functions_xmlrpc.php と _functions_xmlrpcs.php の2つのファイルを、/blogs/b2evocore/ フォルダの同ファイルと置き換えてください。