【要注意】 MODx 0.9.6.2 正式リリース

MODx 0.9.6.2 が正式リリースされました。

http://modxcms.com/forums/index.php/topic,28875.msg168044/boardseen.html#new
ざっと見ただけですが、問題になっていた、文字コード関係（SET NAMES vs SET CHARACTER SET）、
および、いくつかの脆弱性について修正されたとあります。また、インストーラが日本語に対応しました。
インストーラの中で、detect register_globals のチェックをするようになった...とあるようです。
（つーか、もともとのht.accessのなかで、頭の#外しておいて欲しい＞未確認なのでもしかしてなってるかも？）。

また、深刻な脆弱性CSRF について報告が上がっています。
http://modxcms.com/forums/index.php/topic,28881.msg175548.html
簡単に説明しますと、マネージャにログイン中に、罠リンクを踏むと、意図しない動作
（たとえば、ドキュメントの削除など）を実行させられるというものです。
（他分あってると思うんですけど）

これらの対策として、HTTP_REFERER チェックが施されたようです。
（svnをご利用の方はすでにご存じかと思いますが）。

ツール＞MODx 設定　の一番下に、「HTTP_REFERER チェック」という項目があります。
これらを「はい」にしてください。

また、この対処は、万全と言えるものではなく、完全にセキュアなコードを開発中とのこと（らしいです）。

取り急ぎ、ご報告～。フォロ～おねがいします～。

それと、もしかすると、マネージャの言語ファイルが古い状態かもしれないので、
その場合は、以下からダウンロードして、該当ファイルに上書きしてください。

参照：トピは、こちら。言語ファイルのダウンロードも出来ます。

言語ファイル、古い状態のようですね。

http://svn.modxcms.com/jira/browse/MODX-250
こちらに上げられているぶんですが、「Affects Version/s」が「0.9.6.1」となっているので
チェック対象から漏れたということはないでしょうか。
MEGUさんのアカウントで登録されたようですが、これを0.9.6.2に変更することは可能でしょうか。

こんにちは。

こちらに上げられているぶんですが、「Affects Version/s」が「0.9.6.1」となっているので
チェック対象から漏れたということはないでしょうか。

あー？あれ？ちょっと記憶が曖昧なのですが、そうなってますね。。
これは、削除して新たに、作るようになると思います（修正というのはないような...）。
ryan氏へのメッセージの返事を待って、だめならやり直してみましょうか。

さっそくライアンから返事来ました。0963で対応するとのこと。

こんばんわ、ｔｈｒです。

さっそく入れてみました。
日本語インストーラだとなじみやすいですね。
しかし、データベースの設定画面のとき　入力を終えてデータベースの接続チェックをしたら　Warningの表示がでたけど、日本語の表示ではデータベースとの接続がOKだったので、気にせず進めて大丈夫でした。なんでしょ。まぁあまり気にせず進めてしまったのですが、、、

言語ファイルの警告がやはり表示されますね。
明日にでも言語ファイルを更新してみようとおもってます。

深刻な脆弱性CSRF については
とりあえず、マネージャのツール＞MODx 設定の「HTTP_REFERER 」
Yes でいいんでしょうかね。一応Yesにしてみました。　これ、Meguさんが「はい」なのは言語ファイルが新しいからですかね。
「HTTP_REFERER 」の説明文も英語でした。

> yamaさん。
...0963もあるのですね。。次は1.0かと思ってました。。（無理か...）。

＞thr さん。こんにちは。

深刻な脆弱性CSRF については
とりあえず、マネージャのツール＞MODx 設定の「HTTP_REFERER 」
Yes でいいんでしょうかね。一応Yesにしてみました。　これ、Meguさんが「はい」なのは言語ファイルが新しいからですかね。
「HTTP_REFERER 」の説明文も英語でした。

あ、ごめんなさい。「はい」なのは、新しいものだからです。。リリースされている0962のそこの部分は
英語の原文のままだと思います。ので、「yes」でOKです。

しかし、データベースの設定画面のとき　入力を終えてデータベースの接続チェックをしたら　Warningの表示がでたけど

もしかすると、MYsqlのバージョンのことを言われていませんでしたか？mysql5.0.5.1には
少し不具合があるらしくて、MODxのインストーラがそれをチェックしたときに警告を出します。

＞soushiさんの技術的なフォローが欲しい～。

インストーラの日本語化が0.9.6.2で追加された新規の言語エントリーに対応してないので
対応しなくちゃいけないですね。俺も手伝うぞ！って方いらっしゃいますかー？

Quote from: thr at Sep 17, 2008, 05:38 PM

しかし、データベースの設定画面のとき　入力を終えてデータベースの接続チェックをしたら　Warningの表示がでたけど、日本語の表示ではデータベースとの接続がOKだったので、気にせず進めて大丈夫でした。なんでしょ。まぁあまり気にせず進めてしまったのですが、、、

ホントだ、Warning出ますね

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /www/install/connection.servertest.php on line 22

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /www/install/connection.collation.php on line 14

ひとつはinstall/connection.servertest.phpの中の21行目あたりから、

$mysqlmode = @ mysql_query("SELECT @@session.sql_mode");
if (mysql_num_rows($mysqlmode) > 0){

このmysql_queryを実行した結果に関係してるみたいですね。
もうひとつもそんな感じ。