ニュース
オープンソースCMS『Pligg』、セキュリティ更新版をリリース
『Pligg』は、『Digg』に似たソーシャル ニュース サイトを構築できるオープンソースのコンテンツ管理システム (CMS) だ。その Pligg が12月の第1週、いくつかの深刻なセキュリティ上の脆弱性に対応するための更新を行なっている。
他の多くのベンダーやプロジェクトは通常、セキュリティ勧告と同時に更新をリリースするが、更新版『Pligg 1.0.3』のリリースは、これとは異なった形で行なわれている。更新版そのものは既に公開されているが、セキュリティ勧告の完全版は2日にならないと公開されないのだ。こうすることにより、Pligg のユーザー (しかもその数は大変多い) が潜在的な攻撃に対していち早く対応できるようにしている。
ここ数年、規模の大小を問わず様々な企業のセキュリティ研究者たちが、ユーザーにとって最大のセキュリティ リスクとなるのは Web アプリケーションだと指摘してきた。攻撃者が1つのサイトを悪用するだけで、数千人にものぼるそのサイトの利用者に影響を及ぼすことができるからだ。
Pligg の公式 Blog の記事には、次のように記されている。「前版『Pligg 1.0.2』のリリース直後に、Secunia と外部の研究者 Russ McRee 氏から脆弱性の通報を受けた」
更新版を先行して公開し、詳細は後で発表するという Pligg の手法は、ユーザーのセキュリティ向上に役立ってはいるものの、実際の更新版自体を丹念に調べることにより、どこに潜在的な脆弱性やリスクが存在するのかについて、何らかの手がかりが得られてしまうおそれがある。
また、今回の更新作業について、同記事は次のように説明している。「Pligg 1.0.2 以前のバージョンから Pligg 1.0.3 に移行するためには、テンプレートのアップグレードが必要となる。重要な変更は、Pligg のフォームにいくつかのセキュリティ対策を施すために、コードを1行書き加えるだけだ」
『Pligg 1.x』には自動更新通知モジュールが組み込まれており、ユーザーはインストール済みの Pligg を自動で更新できる。しかし、今回の更新はマウスをクリックすれば済むような簡単なものではないようだ。
Pligg を利用したサイトの管理者にとっては、カスタマイズ済みのテンプレートを更新するという手作業が必要になるかもしれない。こうした手作業には、自動更新よりも時間がかかることは疑う余地もない。
■引用元・詳しくは
japan.internet.com
■関連リンク
Pligg(英文)
オープンソースCMS「Pligg」が深刻な脆弱性に対応するための更新を行なった。WEBサイトのセキュリティの高さはユーザの信頼度向上につながる。さらに安全なWEBサイト構築の為に、各CMSベンダーのさらなる技術向上に期待したい。
