【注意喚起】CodeIgniter 1.7.2 セキュリティパッチ(ファイルアップロードクラス)
CodeIgniter 1.7.2 のファイルアップロードクラスの脆弱性を修正する Security Patch がリリースされています。ファイルアップロードクラスを使用しているユーザはすみやかに対応してください。
http://codeigniter.com/news/codeigniter_1.7.2_security_patch/
http://codeigniter.com/ で配布されているパッケージは修正済のものとなっています。バージョン番号は 1.7.2 のまま変更されていませんので注意してください。
あるいは、
http://codeigniter.com/download_files/CI_1.7.2_201007_sec_patch.zip
をダウンロードし、中に含まれる system/libraries/Upload.php を差し替えてください。
この修正により、ファイルアップロードクラスの設定項目 file_name の仕様が変更されています。この設定は、アップロードされたファイルのファイル名を指定されたものにリネームするものですが、変更前は拡張子を削除したものを指定する必要がありましたが、変更後は拡張子を含め指定するようになりました。
参考
- http://codeigniter.com/news/codeigniter_1.7.2_security_patch/
- http://codeigniter.com/user_guide/libraries/file_uploading.html
- http://bitbucket.org/ellislab/codeigniter/changeset/be7114bccbe1
- 作者: 河合勝彦,鈴木憲治,安藤建一
- 出版社/メーカー: 翔泳社
- 発売日: 2008/06/10
- メディア: 大型本
- 購入: 11人 クリック: 88回
- この商品を含むブログ (19件) を見る
