Concrete CMS(旧称 concrete5)の新しいバージョン「9.1.3」及び「8.5.12」がリリースされました。セキュリティリリースになりますので、全てのユーザーにアップデートの適用が推奨されます。
今回のアップデートは、独立系外部ペネトレーションテスト企業のフォートブリッジ社による年次ペネトレーションテストが行われた結果の脆弱性修正リリースとなります。フォートブリッジ社によるアセスメントが行われたのは今年が初めてですが、これまでのConcrete CMSへのレポートやコラボレーションが評価されたとのことです。来年以降も外部のセキュリティ機関による評価が入るとなると、よりセキュリティの強固なCMSになりそうです。
なお、バージョン8系には当初バージョン8.5.10がセキュリティパッチとしてリリースされましたが、パッチ内容にバージョン8系のサポート対象であるPHP5.6で動作しない不具合が見つかり、PHP5.6での動作を修正した8.5.12がリリースされています。
以下は、今回のリリースに含まれるCVEの一覧になります。
セキュリティ評価:中
- CVE-2022-43693
- CVE-2022-43692
- CVE-2022-43694
- CVE-2022-43967
- CVE-2022-43968
- CVE-2022-43686
- CVE-2022-43691
- CVE-2022-43687
セキュリティ評価:低
深刻度高、もしくは緊急に分類される脆弱性はありませんでした。
バージョンアップ作業の代行をご希望の方は、弊社のアプリケーション保守サポートサービスもご検討ください。
- 9.1.3, 8.5.11 ダウンロードはこちら
- 9.1.3 リリースノート全文(英語)はこちら
- 8.5.10 リリースノート全文(英語)はこちら
- 8.5.11 リリースノート全文(英語)はこちら
- 8.5.12 リリースノート全文(英語)はこちら
- 9.1.3 リリースノート全文(日本語)(準備中)
- 8.5.10 リリースノート全文(日本語)(準備中)
- バージョンアップ方法のドキュメント(英語)
