Crayon Syntax Highlighter に脆弱性があった

3日前くらいから、やけに変なスパムコメントが増えてる(承認してないから表示はされてないけど)と思って、
実際のコメント本文を見てみたら、下記のような内容。

<pre class=”lang:php” data-url=”/wp-config.php”></pre>

なんか怪しい~。
DBへの接続パスワードなど、wordpressの設定情報が書かれたファイルを表示させようとしている感じ。
もちろんこのファイル/ディレクトリの権限的に表示させないようにしてるんだけども、
最近やけにこの方法のアタックが多い。変な脆弱性見つかったのかな?
と思ってググって見ると、これかな?

Local file disclosure vulnerability in Crayon Syntax Highlighter

要するに、ソースコードを見やすく表示するのに便利なCrayon Syntax Highlighterというプラグインに、
サーバのローカルファイルを暴露されてしまうセキュリティホールが見つかりましたよ。とのこと。あぶね~。

最新バージョン(>= 2.7.0)にアップデートすれば問題は修正されているということなので、即update!

Bouldering Day 257

菊川HeadRock。

月曜日メンズデー1000円!すごいね〜。

今週も週課題に取り組む。オバケ3級。

インカットを感じられるガバカチを繋いで登っていき、ゴール前が悪いスローパーからガバゴールって課題。

このくらいのカチを130度くらいで持てるようになったら強くなりそうなもんだけども、、、

バルジのピエロ2級はパーツでもできず。。。
強傾斜でガバ&遠い距離感って感じは、少なくとも外っぽい課題よりかは自分の得意分野なので
できなきゃいけないんだけども〜、、、これは敗退。むうん弱い!

UFBⅢ

合計163段収録って・・・。

終始ハイテンションのこのシリーズ、ゲットかな~!
ボルダリングを魚眼で撮るの個人的にはあんまりシックリこないんだけど。。
早く見たい!

Bouldering Day 256

菊川HeadRock。

この前の撮りこぼしだけ再登。

下部から繋げてきてのゴールマッチきつい!

ちなみにこれらの動画は棚にiPhoneを置いて自撮りしてるんだけども、
棚に置く直前に、壁に向かってAEロックして置くことでフォーカスがブレないという
プチライフハックを発見!

Bouldering Day 255

菊川HeadRock。

小田さんが来ているとのことだったので行ってみた!
週課題はまたもやオバケ3級まで。ピエロ2級はちょっと歯が立たないな〜。
小田さんはテープの1級をパーツで作れてたし。強っ!

動画は小田さんの1級(パーツ)と私のオバケ3級(ゴールマッチ落ちテイク。。。成功テイクの時iPhoneのボタン押し漏らしてて撮れてないし。。)

あと小田さんとコーヒー談義。

佐々木 「そういえば築地本願寺のturret coffeeっていうお店この前発見しましたよ〜。結構よかったですよ。」
小田さん「この世には不味いコーヒーなんてないよ。コーヒーが苦手な人と、苦手なコーヒーがあるだけで。」

シビれました!

WP Super Cache導入

「順道制勝って常に重いよね。」

って前から言われていて、特にtwitterにリンクつぶやいた時とか?
結構描画までに時間がかかってたっぽいので、調べてみた。

bash-3.2$ ab -n 3 -c 1 http://defenceless.org/wordpress/

This is ApacheBench, Version 2.3 <$Revision: 1554214 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking defenceless.org (be patient)…..done

Server Software: Apache
Server Hostname: defenceless.org
Server Port: 80

Document Path: /wordpress/
Document Length: 39535 bytes

Concurrency Level: 1
Time taken for tests: 1.850 seconds
Complete requests: 3
Failed requests: 0
Total transferred: 119244 bytes
HTML transferred: 118605 bytes
Requests per second: 1.62 [#/sec] (mean)
Time per request: 616.798 [ms] (mean)
Time per request: 616.798 [ms] (mean, across all concurrent requests)
Transfer rate: 62.93 [Kbytes/sec] received

秒間1.6リクエストしか捌けてない。こりゃ結構だね。。

まずはアプリレイヤーの小手先対応ということで、
キャッシュ系のプラグインでも導入しますかと。
といってもキャッシュ系って見えちゃいけないページが見えたりして怖いイメージあるけど。
まぁ順道制勝はどのユーザが見てもURLによって内容は変わらないし、
むしろキャッシュが効きまくるタイプでしょう、ということで。

が、導入してみると、これってwordpressデフォルトのpermlinkのURLだと使えないのね。
つまり、各記事のURLをgetパラメータを含む形(http://defenceless.org/wordpress/?p=***)じゃダメで、
http://defenceless.org/wordpress/archives/***っていうフォーマットにしないといけない。

ふーん、まぁ確かに最近ってみんなそうやってるよね。。SEO的にもいいんだっけか。内容とURLが一致してる感じが。
別に変えるのはいいんだけど、過去、世界中からリンクされたhttp://defenceless.org/wordpress/?p=***って形式の
リンクが不通になるのは嫌だな〜って思ってたら、wordpressがよしなにrewriteしてくれるらしい。ありがとう!

<Directory "/var/www/html/wordpress">
        Options FollowSymLinks
        AllowOverride All
</Directory>

としてhttpdをrestart。permlink設定も変えてWP Super Cacheを有効化。

bash-3.2$ ab -n 3 -c 1 http://defenceless.org/wordpress/
This is ApacheBench, Version 2.3 <$Revision: 1554214 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking defenceless.org (be patient)…..done

Server Software: Apache
Server Hostname: defenceless.org
Server Port: 80

Document Path: /wordpress/
Document Length: 41111 bytes

Concurrency Level: 1
Time taken for tests: 0.116 seconds
Complete requests: 3
Failed requests: 0
Total transferred: 124167 bytes
HTML transferred: 123333 bytes
Requests per second: 25.82 [#/sec] (mean)
Time per request: 38.725 [ms] (mean)
Time per request: 38.725 [ms] (mean, across all concurrent requests)
Transfer rate: 1043.73 [Kbytes/sec] received

一側面に過ぎないけど15倍くらい速くなった。
しばらくこれで様子を見てみますか。

Bouldering Day 254

横浜B−PUMP。

これまた久々にクライミング。果たして家でG-Stringやってるだけでクライミングは強くなれるのか?
とりあえず2Fへ。

***

ハングの下から出てくる紺(4級)+。ゴール取りを左で出してたんだけども保持できず。。
結局、カンテのデュアルテクスチャをドキドキしながらヒールして倒れこむ感じで右手取りだった〜。
ツルツルに高めのヒールきめるの怖っ!って思いつつもなんとか送り。
その後、3つほど4級を落として、1Fへ。

***

godhand holdのカチを握り込んでトラバースする白(3級)↑の課題。しかし1Fの壁はフリクション加工されてるからスメア効くので、チーム5.10の柔らかソールが唸るぜ〜って思ったんだけど、やっぱりマイクロスタンスは苦手だ。。手も足も親指君に頑張ってもらってなんとか送り。
横浜ってgodhand多いな〜って思ったんだけど、シェイパーが木村さんなのか。

最後は1Fの水色2級。横っ飛びのランジでボテ上のガバ感あるスローパーを止めるっていう、これまた顕著な1手もの。

***

なんとか微調整して止めて送り。。
こういうイロモノ系じゃなくて2Fの傾斜壁で悪いの持つ正統派課題やらんとな〜。

一番持ちやすいキャンパシングの1段ずつを1往復を3セットでヨレ。

***

システムボードはピンチで足ありで。

***

結構ヨレた〜!