MODx 0.9.6.2セキュリティfixの注意点

2008年09月18日追記:MODx 0.9.6.2にアップデートすると文字化けが発生します。そのままドキュメントの編集をするとDBのデータが破壊されます。近々パッチが適用されると思われますので使用は控えましょう。詳細は文字化け報告スレへ。

小規模サイトに最適なCMS MODxのバージョン0.9.6.2が、日本時間2008年09月17日にリリースされました。今回のアップデートは、以前発表があった新仕様のMODx0.9.7系(Rev版)ではなく、旧仕様のMODx 0.9.6系のセキュリティフィックスがメインです。主な修正点は以下のとおり。

0.9.6.2 HTTP_REFERER Checks and Potential CSRF Vulnerabilities (MODx Security Notices)

  • CSRFの可能性
  • HTTP_REFERERチェックの強化

後者の修正HTTP_REFERERチェックはONにすることが推奨されています。設定は、[Tools (ツール)]-[Configuration (MODx設定)]の[Site (サイト)]タブの最下段から可能です。もっとも、HTTP_REFERERは簡単に詐称可能なので、この設定を過信しないようにしましょう。あくまで応急処置です。次期MODxでは、これらの脆弱性を根本的に対策するそうです。上記以外の変更点はリリースノートを参照して下さい。

また、HTTP_REFERERチェックをONにすると、環境によってはマネージャにログイン出来なくなる可能性があります。そのときは、セキュリティソフト等のリファラー送信を許可して下さい。それでも解決出来ないという状態であれば、次の方法でHTTP_REFERERチェックをOFFにしてください。

データベースのsystem_settingsテーブルにあるsetting_name = 'validate_referer'を探し、値を0に戻す。その後、siteCache.idx.phpを開き、以下の行を修正します。

//修正前
$c['validate_referer'] = "1";
//修正後
$c['validate_referer'] = "0";

MODxを狙うクラッキングが横行しています。早めにアップデートをしましょう。