ローカル環境で xupdate を使って core をアップデートした後で
本番環境にDBやファイルをアップロードし
本番環境の管理画面から xupdate を呼び出したら
リロードが何度も走ったうえで白紙画面が表示されてしまった

/modules/xupdate/admin/index.php?action=UserPassColumnLenFix&xoops_redirect=....

色々調査したところ以下のような問題であった

20181220 へのアップデートによって？ mainfile.php に以下のコードが挿入される

    // Alrady fixed length of users table pass column of this DB (Auto inserts by X-update)
    define('XCUBE_CORE_USER_PASS_LEN_FIXED', true);

この値がセットされていないと xupdate の管理画面を表示した際に、この更新を行うためのリロードが行われる模様

mainfile.php は動作環境によって異なるので、すでにこの対処が行われたDBで、このコードが追加されていない mainfile.php を使用すると
この更新処理を実行しようとして、失敗してしまうものと思われる

本番環境の mainfile.php に、上記のコードを追加してあげれば治る

xupdate で以下のアップデートをかけたら画面が真っ白に
CorePack 20180208 → CorePack 20181220


以下の二つのファイルのパーミッションを確認
html/modules/user/preload/Primary/EncryptPassword.class.php
xoops_trust_path/modules/xupdate/admin/actions/UserPassColumnLenFixAction.class.php

xupdate で以下のアップデートをかけたら画面が真っ白に
CorePack 20170328 → CorePack 20180208

エラーログを見ると
html/preload/debugOnlyAdmin.class.php
が読み込めてない模様

フォルダを確認すると -rw-r----- というパーミッション
chmod go+r してあげてブラウザをリロード
無事に表示されるようになった

おそらく開発環境の PHPは mod_php で動いているため
パーミッションが足りないのだろう
サーバ環境なら fastCGI なので問題は起きないと思われるが
他のファイルに合わせて -rw-r--r-- にしておくのが吉？

ssh オートログインを設定していたのだが以下のエラーが出た

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
 Someone could be eavesdropping on you right now (man-in-the-middle attack)!
 It is also possible that a host key has just been changed.
...

サーバが変わったからだが、
ssh-keygen -R "xxx.coreserver.jp"
としてから、再接続で再登録してもなぜか怒られる

Warning: the ECDSA host key for 'xxxxxxxxx' differs from the key for the IP address 'XXX.XXX.XXX.XXX'
Offending key for IP in /home/hoge/.ssh/known_hosts:N

IPアドレスでの登録 known_hosts にあったのか、該当の行を削除したら治った
もう一度 ssh-keygen -R で IPアドレスを指定して実行すればよかったのかも
という訳で、別のマシンから再度試してみた
やっぱり
ssh-keygen -R "XXX.XXX.XXX.XXX"
と IPアドレスを指定したら、問題は消えた

最近何度かログインをしようとしてうまくいかないことがあった。
user.php の応答がないのだ

そしてついにまったくログインできなくなってしまった。
user.php をコピーした名前を変えた user2.php などを作ってアクセスしてみるもダメ
Delegate の中身に何かがあるのだろうか？

さぁどうしよう。

...続きを読む

xoopsX で新たに作ったサイトで chrome や FireFox で新規登録しようとすると

照合用のワンタイム・チケットが見つかりませんでした。
ほとんどの場合は操作手順の関係でワンタイム・チケットが消費されただけですが、
CSRF攻撃を受けた可能性もあります
（この操作は本当にあなたが望んだ操作ですか？）　
操作内容をしっかり確認し、もう一度操作を行ってください。

と表示されて、登録ができないという状況が発生。
IEでも最初の一回目は同様のメッセージが出たり出なかったり...

...続きを読む

altsys でテンプレートの編集をしているときに、なぜか勝手にエスケープ文字列が付加されていたことがあった。

...続きを読む

XCL 2.2 で、ブログなどのコメント表示欄をカスタマイズしてみたときに、 うまくカスタマイズできない所があって悩んでしまった...

...続きを読む

Smarty にクロスサイトスクリプティングの脆弱性が見つかった

- Smarty 3.1.11 およびそれ以前
- Smarty 2.6.26 およびそれ以前

JPCERT コーディネーションセンター Weekly Report

...続きを読む

多分2.2.1 のβではすでに直っていると思うが...

allbox チェックボックスの javascript

onclick="with(document.smilesform){for(...

のsmilesform は commentlistform でなければいけない

修正ファイルの場所は
modules/legacy/admin/templates/comment_list.html