まだ重たいCMSをお使いですか?
毎秒1000リクエスト を捌く超高速CMS「adiary

2019/03/12(火)adiary Version3.23 リリース情報

ダウンロードはこちらから

  • Ver3.20以降の変更による累積的なバグ修正、httpd/EXEの修正が多めです。

Ver3.23の変更点

  • Pocketのシェア数が取得できなくなっていたので取得機能を削除しました。*1
  • デフォルトアイコンとデフォルトロゴを変更しました。
  • 静的HTML出力が無効のとき、管理者以外にはエラーメッセージを表示しないように変更。
  • 管理メニューの流れを少し改善しました。
  • 記事編集画面でファイルアップロードの進捗を表示するよう変更。
  • アルバムと記事編集画面のファイル選択ボタンのデザインを変更。
  • 【アルバム】アップロード中の進捗を表示するように変更。
  • 【アルバム】ファイルリネーム時に、画像以外はサムネイルを再生成するよう変更。
  • 【アルバム】ファイルリネーム時に del キーが使用できない。
  • 【httpd/EXE】Socket を STDIN に接続するのを止め、若干高速化しました。
  • 【httpd/EXE】index.htmlを有効化しました。
  • 【httpd/EXE】大きいファイルをダウンロードする場合、すべてメモリに展開しないようにしました。
  • 【adiary.conf.cgi.sample】大きいファイルはテンポラリに書き出すよう変更。
  • 【adiary.conf.cgi.sample】<$Form_options.multipart_use_temp>を<$Form_options.use_temp_flag>に変更。*2
  • 【plugin】非公開コメントにヘルプを出せる機能を追加。
  • 【Fix/plugin】Twitter通知プラグイン。2018/06/13以降、新規認証に失敗していた。
  • 【Fix/Ver3.20-】デザイン編集時に、ヘッダが常に標準のまま(非カスタム状態で)出力されてしまう。
  • 【Fix】稀に最初のファイルアップロードに失敗することがある。
  • 【Fix】静的出力時、ヘッダにゴミが出力される。
  • 【Fix】致命的エラーメッセージ(初期ディレクトリ作成失敗)がきちんと表示されない。
  • 【Fix】大きなファイルを送信されたとき、<$Form_options.multipart_use_temp_dir>を設定していても、すべてメモリに展開していた。*3
  • 【Fix】テンポラリとして /tmp などパーティションが異なるディレクトリを指定すると、アップロードに失敗する。
  • 【Fix】コメント欄でTABが入力できないことがある。
  • 【Security/httpd/EXE】HTTP_HOSTヘッダにタグを挿入可能だった。*4
  • 【Security】HTTP_HOSTヘッダに虚偽の設定をした上でコメントを投稿するとRSSのホスト名部分を外部から書き換えられてしまう。*5

*1 : query.yahooapis.com が突然サービス終了したため

*2 : ディレクトリ名を設定するのかフラグを設定するのか非常にわかりにくく、自分でハマってしまったので……。

*3 : multipart_use_temp_dirを設定していない場合、無条件にメモリに展開します。

*4 : RSS以外に展開されることはないので、実害はあまりない。

*5 : Hostヘッダインジェクションと呼ばれる攻撃です。一般的なレンタルサーバでは VirtualHost と呼ばれる設定を使用しているため問題ありません。

Hostヘッダインジェクションについて

今回のバージョンアップで、RSSのホスト部分を第3者が書き換え可能になるセキィリティホールが修正されています。

  • 一般的なレンタルサーバでは問題ありません。
  • 独自サーバ等でも、(最初以外の)VirtualHost部分にadiaryの設定がある場合は問題ありません。
  • adiary.env.cgiで <Server_url> が設定されている場合問題ありません。

いわゆるHostヘッダインジェクションと呼ばれる問題で、Hostヘッダからサーバのホスト名を設定する仕様が原因になっています。幸い、Host名として不正なものはサーバソフトウェアが弾くのでJavaScriptを埋め込まれるといった問題は起こりませんが*6、RSSのURLが書き換えられる問題はおきます。

対策としては、最初のインストール時に HTTP_HOST から信頼できる URL を生成し記録しておくなどの方法が有効です。*7

*6 : adiary.httpd.plのVer1.04以前にはこの問題が存在しますが、HTTP_HOSTをそのまま埋め込むのはRSSのみなのでスクリプトを実行することはできません。RSSのXMLをパースエラーにする程度です。

*7 : adiaryでは管理者ログイン時に HTTP_HOST 情報を記録するようにしました。

2019/02/11(月)Linux/Windowsで動く本格的なWebServerをPerlで作る

2019/02/02(土)adiary Version3.21 / Ver3.22 リリース情報

ダウンロードはこちらから

Ver3.22の変更点

  • 【Fix】sitemapプラグインが動かない。
  • 【Fix】AMPプラグインにCSSが適用されない。
  • 【Fix】mod_perl2環境で動作が不安定。
  • 【Fix】インポート等のセッション画面表示がおかしい。
  • 【httpd/EXE】コードを若干変更。

Ver3.21a/bの変更点

  • 【Ver3.21a】Ver3.21で変更した「figure caption」の仕様を元に戻しました。*1
  • 【Ver3.21b】【Fix】テキストエリアでTABが入力できない。

*1 : 問題しかありませんでした……

Ver3.21の変更点

  • 内部処理を見直し、2%-5%程度処理を高速化しました。
  • 起動時のパス解析を更新しました。
  • 静的出力(エクスポート)機能を更新しました。
  • テーマ選択画面を少し見やすくしました。
  • 【記法】Markdown式の「```~```」等のブロック記法に対応しました。*2
  • 【記法】ブロック記法を若干改良しました。
  • 【記法】同じ内容の注釈でもセクションが異なれば別々に出力するようにしました。
  • 【記法】フィルター記法をはてなブログURLに対応させました。
  • 【Markdown】注釈記法を追加しました。
  • 【Markdown】Qiitaのmathブロック記法を追加しました。
  • 【httpd/EXE】max_request設定を追加し、デーモンの自動再起動を内蔵しました。*3
  • 【httpd/EXE】引数を若干変更しました。
  • 【httpd/EXE】adiary.conf.cgiが存在しない時、自動生成するようにしました。
  • 【plugin】JavaScriptプラグインを更新。
  • 【plugin】フリー入力プラグイン(メイン部)に表示条件を選択する機能が付きました。
  • 【plugin】メール通知プラグイン。sendmailコマンドを止め、SMTPで送信するようになりました。
  • 【Fix】JavaScript強制更新用queryが一部正しくない。
  • 【Fix】Perl5.8で動かない。(Thanks to 漁
  • 【Fix/デザイン編集】単一記事表示の編集リンクが移動できてしまう。
  • 【Fix/記法】gist/githubのソース貼り付けが動作していない。
  • 【Fix/Markdown】コメントのみの行を、行処理してしまう。

*2 : シンタックスハイライトや数式記法は人によってはよく使うにもかかわらず記述方法がややこしいので、覚えやすい記法をMarkdownより輸入しました。

*3 : 長期運用したときメモリリークしないための措置です

2019/01/20(日)Net::SMTPでSMTP AUTHのDIGEST-MD5に失敗する問題

さくらインターネットのメールサービスを使用して、SMTP AUTHのDIGEST-MD5認証を使うと送信に失敗する問題を調べてみました。

問題の詳細

PerlのNet::SMTPモジュール等を使用して、さくらインターネットのメールサービスを使い、SMTP Authでメールを送信する失敗します。

ネットで検索するとPerlのNet::SMTPの問題と書かれていたりもしますが、実際にはさくらインターネット側の問題のようです

SMTPのログを取ってみるとこんな感じになります。

> 220 www1234.sakura.ne.jp ESMTP Sendmail 8.15.2/8.15.2; Sun, 20 Jan 2019 21:25:22 +0900 (JST)
EHLO localhost.localdomain
> 250-www1234.sakura.ne.jp Hello xxxx [192.168.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 209715200
250-DSN
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
> AUTH DIGEST-MD5
(decoded) nonce="UOM8WDtDO5/ZOCm+tpQaxjRbHOCM5Y5CKekiBEVlmU8=",
		realm="www1234.sakura.ne.jp",
		qop="auth,auth-int,auth-conf",
		cipher="c4-40,rc4-56,rc4,des,3des",
		maxbuf=8192,charset=utf-8,algorithm=md5-sess
>(decoded) authzid="smtp@example.jp",charset=utf-8,cipher=rc4,
>		cnonce="eedacf2b08dc6c60a2a799ee59188455",
>		digest-uri="smtp/XXXXXXXX.sakra.ne.jp",
>		nc=00000001,nonce="UOM8WDtDO5/ZOCm+tpQaxjRbHOCM5Y5CKekiBEVlmU8=",
>		qop=auth-conf,realm="www1236.sakura.ne.jp",
>		response=c54d120c415a6e3d5cd5469b36faa7e1
>		username="smtp@example.jp"
(decoded) rspauth=fc45f7aa080db4dfb73d1b65a1f48d50
>
235 2.0.0 OK Authenticated
> MAIL FROM:<test@example.jp>
Net::SMTP: Net::Cmd::getline(): unexpected EOF on command channel:

ソースに手を入れていろいろ調べてみたところ、

235 2.0.0 OK Authenticated

を受け取ったあと、どんなコマンドを送っても切断されているようです。コマンドを送るまでソケットは生きているのですが、改行してコマンドを確定した瞬間にソケットの強制切断を喰らいます。これを回避するために、なにか特殊な暗号をしゃべるべきなのかもしれませんが皆目検討が付きません。

問題の切り分け

問題を切り分けるために、自前でSMTP AUTH / DIGEST-MD5認証対応のpostfixサーバを構築して実験してみたところ、問題なく送信できました。これにより、さくらインターネット側の不具合の可能性がかなり濃厚になってきました。

なぜ問題が放置されているのか?

ほとんどのメーラー(メールクライアント)は、SMTP AUTHの認証方法を細かく指定することができません。内部で良きにはからってくれるので、仮にDIGEST-MD5認証に挑戦して失敗しても、CRAM-MD5等の他の認証方法を試します。

PerlのNet::SMTPモジュールではなぜ問題が起こるのか?

Net::SMTPモジュールは「EHLO」で返された「AUTH」の中で、最初に対応しているものを認証手段として選択します。失敗しても次の認証方法を試したりはしません。結果として、さくらインターネットのメールサービスと組み合わせて使用すると、SMTP Authに失敗します。

ひとこと

さくらインターネットちゃんとしてください(笑)*1

OK キャンセル 確認 その他