カテゴリー
WordPress

WordPress 3.1.3日本語版へのアップデート。

 昨日,WordPress 3.1.3日本語版が出たのでアップデート。
 「セキュリティアップデートとなりますので、速やかにアップグレードを行ってください。」ということなので,仰せに従い,ボタンをポチッと。一応前もって,データベースとファイルのバックアップはしましたが,何事もなく成功。大体,ちゃんと忘れずにバックアップ等をやったときは,こんなものです。忘れたときに限って青ざめるようなことが起きるのが,世の常。(笑)

 主なセキュリティ修正と改善は以下の通り。
————————————————————————————————————————————————–
Alexander Concha による各種セキュリティ強化
John Lamansky によるタクソノミークエリ関連の補強
カノニカルリダイレクトを利用した投稿者以外のユーザー名情報傍受の防止。Props: Verónica Valeros
Microsoft 社の Richard Lundee 氏および Jesse Ou 氏、また マイクロソフト脆弱性調査 によるメディアセキュリティの修正
危険なセキュリティ設定を行っているサーバー上でのファイルアップロードセキュリティを向上
インポートが完了しなかった場合古い WordPress インポートファイルを削除
モダンブラウザ上の管理画面及びログイン画面で、「クリックジャック」に対する防御策を導入
————————————————————————————————————————————————–

カテゴリー
Windows

本家のお世話-#6。

 前々からアナウンスされていたMovable Type 5.1が,昨日,リリースされたので,これをアップグレードするとともに,いろいろとアップデート。

  • httpd-2.2.17-win32-x86-ssl.zip
          ————> httpd-2.2.19-win32-x86-ssl.zipへのアップデート。
    1. httpd-2.2.19-win32-x86-ssl.zipを解凍。
    2. apacheを停止。
    3. 自鯖の.conf ファイル以外を上書き。
    4. apacheを起動。
    5. 多分,停止する必要はないんだけど。再起動はしないと更新は反映されない。

  • mysql-5.5.10-win32.msi
         ————> mysql-5.5.12-win32.msiへのアップデート。
    1. 単純にダブルクリックしてインストール。
  • phpMyAdmin-3.3.10-english.zip
          ————> phpMyAdmin-3.4.1-english.zipへのアップデート。
    1. phpMyAdmin-3.4.1-english.zipを解凍。
    2. 自鯖のconfig.inc.php以外を上書き。
  • ImageMagick-6.6.7-10-Q16-windows-dll.exe
          ————> ImageMagick-6.7.0-0-Q16-windows-dll.exeへのアップデート。
    1. ImageMagick-6.6.7-4-Q16-windows-dll.exeをアンインストール。
    2. ImageMagick-6.7.0-0-Q16-windows-dll.exeをインストール。
    3. Windowsを再起動。   <——————– これをやらないと更新が反映されない。
  • curl-7.21.4-devel-mingw32.zip
          ————> curl-7.21.6-devel-mingw32.zipへのアップデート。
    1. curl-7.21.6-devel-mingw32.zipを解凍。
    2. C:PHPのcurl.exe と libeay32.dll を上書き。
  • MTOS-5.04-en.zip
          ————> MTOS-5.1-en.zipへのアップグレード。
    1. 解凍後,フォルダ名を ‘MTOS-5.04-en’ から ‘MT’ に変更。
    2. cgi ファイルの一行目を’#!/usr/bin/perl -w’ から ‘#!C:/perl/bin/perl -w’ に書き換え。
    3. 古いmt-config.cgi を新しい’MT’ の中にコピー。
    4. 古い ‘mt-staticsupport’ を新しい’mt-staticsupport’に上書き。
    5. テンプレート’mt-staticthemesmine’ を new ‘mt-staticthemes’ にコピー。
    6. 古い’MT’ と ‘mt-static’ を新しいのと入れ替え。
    7. http://mydomain/cgi-bin/MT/mt.cgi にアクセスして,指示通りアップグレード。
    8. セキュリティ関連でmt-config.cgi-original, mt-upgrade.cgi, mt-check.cgi, mt-wizard.cgi を削除。

追記:Movable TypeのTemplate Modulesの”Entry Summary”についての書き忘れ。
   ”Entry Summary”から以下の6行を削除。
      <mt:If tag=”EntryMore” convert_breaks=”0″>
         <div class=”asset-more-link”>
            Continue reading <a href=”<$mt:EntryPermalink$>
            #more” rel=”bookmark”><$mt:EntryTitle$></a>.
         </div>
      </mt:If>

追記2(5/27):”MT-Akismet”のことを忘れていたので,今日,再インストールした。

カテゴリー
WordPress

WordPress 3.1.1 日本語版にアップデート。

 2.28(月)にWordPress ver.3.1ラインハルトの日本語版にしたばかりなんだが,昨日,マイナーバージョンアップがあって,3.1.1になった。本家版は4.5(火)に出た。スパンが短いのは
=================================================================================
このメンテンナンスおよびセキュリティリリースでは、バージョン 3.1 にあった30件弱のバグを修正しています。以下で一部をご紹介します。

* メディアアップロードに関するセキュリティ強化
* パフォーマンス向上
* IIS6 対応のための修正
* タクソノミーおよび PATHINFO (/index.php/) パーマリンク修正
* クエリおよびタクソノミーとプラグイン互換性に関する各種エッジケース (まれに起こる問題) 向けの修正

バージョン 3.1.1 ではさらに、WordPress コア開発者でありセキュリティチームに属するジョン・ケーヴとピーター・ウエストウッドが発見したセキュリティ問題3点にも対処しています。一つ目は、メディアアップローダーでの CSRF 阻止の強化。二つ目は、一部の環境において、非常に悪意を込めて作成されたリンクがコメントに含まれていた場合の PHP クラッシュの防止。三つ目は、XSS 問題の修正です。
=================================================================================
ということらしい。所帯が大きくなり,ユーザが多くなると,対処も迅速が求められるんだろうから,大変だよね。皆様,ご苦労様です。
 早速更新した。

カテゴリー
everyday life

PHP5.3.6がらみ?

 本日,(たまたま)縦書き「清貧譚 (seihin.php)」にアクセスしたら,表示されなかった。
 Apacheのerror.logを見たら,
  file_get_contents(): http:// wrapper is disabled in the server configuration by allow_url_fopen=0
が出ている。allow_url_fopen=Off のせいって,昨日のアップデート以前から「Off」だったジャンと思うんだが,PHP5.3.6にしたせいらしい。
 仕方がないので,といってもallow_url_fopen=Onにするわけにはいかないので,代わりにcURLを使ってみることにする。
 最新のcurl-7.21.4-devel-mingw32.zipを落としてきて,解凍。
 http://www.php.net/manual/ja/curl.installation.phpによると,「libeay32.dll および ssleay32.dll が PATH の通った場所に存在する必要があります。」ということなので,curl.exeとlibeay32.dllをC:PHPにコピーするともに,既に存在したssleay32.dllを最新版で上書きした。
 php.iniのextensionでextension=php_curl.dllをアンコメント。
 あと,清貧譚(seihin.php)の中のphpスクリプトをcURLで書き直す。こんな感じ。

<?php
        $url = "http://www.example.com/index.html";
        $ch = curl_init();
        curl_setopt ($ch, CURLOPT_TIMEOUT_MS,5000);   <---8/05追加
        curl_setopt($ch, CURLOPT_URL,$url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        $data = curl_exec($ch);
        curl_close($ch);
        $data = substr($data, 0, 100);
        $data = mb_convert_encoding($data, 'UTF-8', 'Shift_JIS');
        echo $data;
?>

 表示されるようになった。やれやれ。

追記(8/5):
 A secure rewrite of timthumb.php as WordThumb (魚拓です) を読んでて気になったので,上記にcurl_setopt ($curl, CURLOPT_TIMEOUT_MS,5000);を追加。PHP5.2.3未満,cURL7.16.2未満だと,CURLOPT_TIMEOUTじゃないと使えないだろう。value の適切な設定値が分からないので一応5秒に設定。

カテゴリー
Vulnerability

本家のお世話-#2。

投稿アップデート情報  追記4(2012/4/11)

 初っ端に自鯖をたてた時以来,Apacheについては,http://www.apache.org/dist/httpd/binaries/win32/から.msiを落としてきて使ってきた。
 ところが,今回,3月17日のPHP 5.3.6のリリースで,ちょっと困った事態が発生した。いままで提供されていたVC6 x86 対応バージョンがなくなってしまったのだ(この件に関しては,追記2・3参照)。しかし,PHP 5.3.6ではかなり脆弱性が修正されているので,アップデートしないというのは,日ごろの主義に反する。
 修正された脆弱性は,主なものだけでも以下の通りだ。

  • Enforce security in the fastcgi protocol parsing with fpm SAPI.
  • Fixed bug #54247 (format-string vulnerability on Phar). (CVE-2011-1153)
  • Fixed bug #54193 (Integer overflow in shmop_read()). (CVE-2011-1092)
  • Fixed bug #54055 (buffer overrun with high values for precision ini setting).
  • Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
  • Fixed bug #53885 (ZipArchive segfault with FL_UNCHANGED on empty archive). (CVE-2011-0421)

 PHP For Windows では前々から,「Do NOT use VC9 version with apache.org binaries」となっている。見ての通り,NOTは大文字かつ太字。
 仕方がないので,http://windows.php.net/download/での指示通り,Apache Loungeに行って,httpd-2.2.17-win32-x86-ssl.zipを落としてきた。
 さて,地道に本家のお世話に取り組むか。

  1. こいつを解凍してみると,Apacheのディレクトリ名がApache2になっているので,これを現在の使用中のApache2.2に変更。
    また,*.confファイルの中に14か所あるc:/Apache2を,自鯖のパスにアジャスト。
  2. httpd.confを自鯖の環境に合わせて書き換え。
  3. conf/extra内の*.confの追加および書き換え。(awstats用,バーチャルホスト用などなど。)
  4. php-5.3.6-Win32-VC9-x86.zipを解凍して,php.ini-productionをphp.iniにリネームし,現在使用中のphp.iniと比較しつつ,手直し。
  5. allow_url_fopen = Onをallow_url_fopen = Offにする。(RFI対策のひとつ)
  6. ;extension_dir = “ext”をアンコメントし,extension_dir = “C:PHPext”に書き換え。
  7. ;extension=php_gd2.dllをアンコメント。
  8. ;extension=php_mbstring.dllをアンコメント。
  9. ;extension=php_mysql.dllをアンコメント。
  10. ;extension=php_mysqli.dllをアンコメント。
  11. ;date.timezone =をアンコメントし,date.timezone =”Asia/Tokyo”に書き換え。
  12. ;sendmail_from = me@example.comをアンコメントし,sendmail_from =”管理者のメールアドレス”に書き換え。
  13. ;mbstring.language = Japaneseをアンコメント。
  14. ;mbstring.internal_encoding = EUC-JPをアンコメントし,mbstring.internal_encoding = UTF-8に書き換え。
  15. ;mbstring.http_output = SJISをアンコメントし,mbstring.internal_encoding = UTF-8に書き換え。
  16. この際だから,ついでにdisable_functions =も編集して,disable_functions =”shell_exec, suexec, passthru, phpinfo”にしておいた。

 ApacheとPHPの下準備が済んだので,インストールにかかるが,その前にサイトのデータをバックアップ。この間みたいに後で青ざめたくないもんね!!
 今回ほかにもいろいろアップデートが出ているので,下記の順でやります。

  1. まず,VC6からVC9ということで,Microsoft Visual C++ 2008 再頒布可能パッケージ (x86)を,更新も含めてインストール。
  2. ちょっとApacheをストップして,Apache Lounge版とそっくり入れ替え。
  3. C:PHPの中身もPHP 5.3.6とそっくり入れ替え。
  4. ここで,ドキドキしながら,Apacheをスタート。おっ,走ったよッ。
  5. 再度,Apacheをストップ。
  6. ActivePerl-5.12.2.1203-MSWin32-x86-294165.msi
    ————> ActivePerl-5.12.3.1204-MSWin32-x86-294330.msi
  7. mysql-5.5.8-win32.msi
    ————> mysql-5.5.10-win32.msi (マイナーバージョンアップなので上書きインストール。)
  8. ImageMagick-6.6.7-4-Q16-windows-dll.exe
    ————> ImageMagick-6.6.8-10-Q16-windows-dll.exe (いつもながら,OSを再起動しないと更新されない。)
  9. phpMyAdmin-3.3.9-english.zip
    ————> phpMyAdmin-3.3.10-english.zip

 完了。
 いろいろ変わったので,ブログのプラグインでも不具合の起こる恐れもあります。なんか,気づかれましたら,ご連絡いただけたら幸いです。

追記:
 早速だが,次記事に書いたように,file_get_contents()が使えなくなっちゃったので,最新のcurl-7.21.4-devel-mingw32.zipを落としてきて,cURLをインストールした。
 http://www.php.net/manual/ja/curl.installation.phpによると,「libeay32.dll および ssleay32.dll が PATH の通った場所に存在する必要があります。」ということなので,curl.exeとlibeay32.dllをC:PHPにコピーするともに,既に存在したssleay32.dllを最新版で上書き。さらに,php.iniのextensionでextension=php_curl.dllをアンコメントした。

追記2(4/5):
  #apache.org
   httpd-2.2.17-win32-x86-openssl-0.9.8o.msi (released 2010-10-19)
  #apache lounge
   httpd-2.2.17-win32-x86-ssl.zip Changelog 18 Oct ’10
 となっていて,apache.org版でPHP5.3.6はちゃんと動くようだ。
 http://www.phppro.jp/qa/3176 で,iroha_codeさん から情報をいただきました。iroha_codeさん,ありがとうございます。
  何事も,鵜呑みはいけないようですね。

追記3(4/6):
 kazenokakasiさんの情報 (http://sitifukuzin.com/blog/?p=16145) によれば,apache.org版では動かなかったようですね。
 うーん,情報が錯綜しているなぁ。サーバのアップデートというのはあまり試行錯誤してどうこうという種類のことじゃないので,Apache Loungeのzip版の上書きインストールが無難なのかもしれん。

追記4(2012/4/11):
 Apache導入についての新しい記事を,本家のお世話-#28。本家のお世話-#29。に書いた。

カテゴリー
WordPress

Ajax Edit Commentsフリー版のバージョンアップ

投稿アップデート情報  追記2(2013/1/12)  追記3(1/25)

追記2(2013/1/12):
 うれしいことに, Ron が戻ってきて, v.5.0.13.0 がリリースされた。試してみたらこれは,楽に動くようだ。 12 日現在,日本語化ファイルは旧いものしか同梱されていないので, v.5.0.13.0 用をここに置いた。

追記3(1/25):
 最新版の日本語化ファイルは,右下の「いろいろ」のところ,あるいは,ここから落とせるように変更した。

———————————————————————————————————————————————
 昨日の朝,Ronから「Ajax Edit Comments is Back on the WordPress Official Repo」という題名のメールが来まして,WordPressのPlugin DirectoryにWP Ajax Edit Commentsを見に行ってみました。
   バージョン:3.2.0.0.
   WordPress2.8以上が必要で,3.1にも対応。
   最終更新: 2011-3-10
ということのようですね。まあ,私自身は有料版の4.1.8.3を使っているわけですが,フリー版がバージョンアップしたということで,日本語化ファイルもバージョン:3.2.0.0.に合わせて作り直しました。お使いくださる方は,こちらからダウンロードしてください。なんかまずいところがありましたら,お知らせください。

追記(7/21):今日たまたまWP Ajax Edit Commentsを見に行ったら,フリー版のバージョンが3.2.1.0になっていたので,これに合わせて日本語化ファイルを作った。

カテゴリー
Linux

初代LooxでU-lite-#3

投稿アップデート情報  追記(10/19)

 Fluxboxは軽くっていいんだけど,かなりカスタマイズしないと使いにくい。
 10.04へのアップグレードが成功したので,もともと使いたかったLubuntuデスクトップを導入してみる。

  1. まず,Synapticパッケージマネージャを立ち上げ,lubuntuを検索。検索結果から,lubuntu-desktopを選択してインストール。依存関係で必要なものもすべてインストール。
  2. インストール後,lxdmを選択。
  3. ひとまず,ログアウト。
  4. 改めて,「LXDE」でログイン。
  5. FAMあるいはGaminはインストールされていますかというメッセージが出たので,確認したがGaminはインストールされているようだ。
  6. メッセージをO.K.で閉じて,メニューからPCManファイルマネージャを起動するとデスクトップ上にマイドキュメントフォルダが現れた。USBメモリを指すとファイルマネージャの左ペインにそのメモリについての情報が現れる。ということは,この時点でGamin-Serverは動いてるってことじゃないんですか?よくわからないけど,とにかくPCの起動時点では,FAMへの接続に失敗してるらしい。でも,その後使えるようになるってこと?いまのところ,これでいいことにしようかな,どうもモヤモヤするけど……

 ところで,本日,WordPress ver.3.1ラインハルトの日本語版が出たのでアップデートしました。不具合は何もなし。でも,機能はいろいろ増えてる模様。

追記(10/19):
 今回,ネトラジのチェックで何度もネットにつないでいたのだが,このときにLXDEだとネットワークの状況がわからなくて困った。ググってみたら,ubuntu(他のディストリも同様かは不明)ではネットワークマネージャの設定ファイルの自動起動にLXDEが入っていないらしい。そこで設定ファイル /etc/xdg/autostart/nm-applet.desktop の OnlyShowIn=GNOME;XFCE; に LXDE; を書き加えてログインしなおしたらよくなった。タスクバーにネットワークマネージャのアイコンが現れるようになったヨ。めでたし。

カテゴリー
Windows

青ざめちゃいました。

 夕べ寝る前にちょっとと思って,自鯖のアップデートを始めました。特に問題もなく,
    ActivePerl-5.12.2.1202-MSWin32-x86-293621.msi
      ————> ActivePerl-5.12.2.1203-MSWin32-x86-294165.msi
    php-5.3.4-Win32-VC6-x86.zip
      ————> php-5.3.5-Win32-VC6-x86.zip
    mysql-essential-5.1.53-win32.msi
      ————> mysql-5.5.8-win32.msi
    ImageMagick-6.6.6-4-Q16-windows-dll.exe
      ————> ImageMagick-6.6.7-4-Q16-windows-dll.exe
が済みました。で,ImageMagick-6.6.7-4-Q16-windows-dll.exeをインストールしたのち,サーバを再起動しました。ImageMagickについては,Windowsを再起動しないと更新が反映されないことがよくあるからです。で,いつも一番不具合が現れるCaptchaがうまく表示されるかどうかを見るために,o6asan’s soliloquy.(英語ブログ)の個別ページにアクセスしました。

 Captchaが表示されていません。あれっと思って,もう一度,ImageMagick-6.6.7-4-Q16-windows-dll.exeをインストールして再起動し,環境変数のPATHからImageMagick-6.6.6-4-Q16を外したりしてみました。どうしてもうまくいかない。「あれっ」とは思ったんですが,この時点ではまだあまり慌てていませんでした。しかし,何度やってもうまくいかない。そこで,mt-check.cgiを走らせてみようと思い,MovableTypeにログインしようとしたら,弾かれました。「ユーザを遮断しました」的なメッセージがでます。この辺からぼちぼちあせってきたのですが,何が原因かわからないまま,時間が過ぎていきます。明くる日は仕事だし,気は急くんですがどうしても原因がつかめません。

 MovableTypeにどうしてもログインできないので,o6asan’s soliloquy-part2(日本語ブログ)にアクセスしてみようとしました。こちらが無事表示されれば,英語のほうは諦めて今夜は寝てしまおうと思ったのです。こっちは大丈夫だろうと,内心思っていたのかもしれません。ところが,ToyParkのころによく見た「データベースにアクセスできません」が表示されました。
 ここに至りハタと思い当たったのが,MySQLが5.1から5.5になったということです。これはアップデートを始める前から少し気がかりだったのですが,インストールの過程が何事もなかったのですっかり忘れていました。調べて見ると,インストールディレクトリはMySQL5.1からMySQL5.5になっているし,データベースを保存しているディレクトリもサフィックスが5.1から5.5になっていました。5.1の中にデータベースは残っているのですが,これは新SQLサーバからは読めません。新サーバのほうには,MovableTypeやWordPressで使っている一般ユーザは,もちろん登録されていません。ログインできなくて当り前です。
 私は,MovableTypeを静的HTMLで使用していますから,個別ページを見るのは何も問題なかったわけです。WordPressを使っていてよかったです。WordPressが「データベースにアクセスできません」メッセージを吐いてくれなかったら,原因にたどりつくのにもっと苦労したでしょう。

 ドキッとしたのは,アップデートを始める直前にバックアップをしていなかったことです。一瞬,泣きたくなりましたが,よく考えると日英ブログとも30日に記事を書いたのちにバックアップをしていました。やれやれです。ここからはすんなりです。新しいSQLサーバ上にMovableTypeやWordPressで使う一般ユーザとデータベースを作ってやって,データをインポート。無事使えるようになりました。勤務の日だというのに,時刻は午前3時くらいになっていました。まいりました。しかし,バックアップをしておいてよかったです。しばらく不具合がないとついルーズになって,バックアップをせずにアップデートを始めてしまうのですが,いけませんね。改めて身にしみました。

 後の話ですが,やはりスゴク焦っていたようで,朝出勤前にメールを見ようとしたら,自メール鯖にアクセスできませんでした。ArgoSoft MailServer(Freeware)からXMailServerへ。の「追記2」に書いたように,Windowsの再起動のたびにXmailのサービスがこけるのですが,手動でサービスを再起動するのを忘れていたのです。お粗末。

カテゴリー
WordPress

WordPress 3.0 日本語版インストール。

6月18日にWordPress 3.0「セロニアス」リリースということで,日本語版3.0はいつだろうなぁと思っていましたら,早くも昨日(6月22日),リリースされたようです。ということで,アップグレードしてみました。

  1. データベースとファイルのバックアップを行う。
  2. すべてのプラグインの使用を停止する。
  3. ツール > アップグレード(/wp-admin/update-core.php)にアクセスする。
  4. 「自動アップグレードを実行」をクリックする。
  5. 「WordPress のアップグレードを完了しました。」と表示されたら、プラグインを有効化する。

なんですが,案の定,ここ(ToyPark)では自動アップグレードはできませんでした。で,上記,3.4.については,FTP経由で手動で行いました。それが,手間だっただけで,特に,データベースの手直しなどの必要もなく,無事アップグレードが完成。

めでたし,めでたし。

追記:セキュリティ関連か,wp-config.phpに設定項目が,増えていました。

カテゴリー
Windows

よくある話。-#3

前記事の投稿のときに,「どなたか,同様の経験がおありで根本原因に心当たりがありましたら,コメントでもくださいませ。」と書きましたら,早速,juneさんから,書き込みがありました。

私のブログ上のコメントでは,IE8の[互換表示設定]のことで終わっていますが,juneさんのブログのほうで「WindowsUpdate.logにヒントは残っていないのでしょうか?」というサジェスチョンをいただきました。

実は,該当PCが少し調べにくい環境にあります。サンワのVGA-TVCというダウンスキャンコンバータをかませて,茶の間のテレビをモニター代わりにしており,リモートにもなっていないせいで,家人のいないときしかじっくりアクセスできません。そんなわけで,今まで場当たり的な対応してしていなかったのですが,5月3日,風邪をひいて出かけられないのを幸いに―休日に体調を悪くするなんて「ワーカホリック」の極みですね(苦笑)―地道にWindowsUpdate.logを眺めてみました。

他にも,エラーはありましたが,関係ありそうに思ったのは以下の3つです。

0×80080008 : http://support.microsoft.com/kb/956703/ja(魚拓です)
0×8007f0da : http://support.microsoft.com/kb/958050/ja
0×8024200b : http://support.microsoft.com/kb/922377/ja

ただ,3番目のFATAL: UH: 0×8024200bの直前には,いずれも
WARNING: Install completed: result type = 0×0, installer error = True, error = 0×8007f0da
が出ていますので,根本原因はやはり0×8007f0daのほうかと思います。で,まだやっていないこちらの「手順2・3」は,次回起こったときに試してみようと思っています。

意外だったのは,0×80080008が多量にあったことで,発生原因を読んでみると該当PCで十分ありそうな話です。というわけで,こちらの対処だけやってみました。

これは0×8007f0daに関わりがありそうな気がするのですが,皆さんはどんなふうに思われますか。