Zenphotoと自動インストールサイトの今の状況

12月15日Hostmonsterからメールが届きました。

Exploitable Versions of ZenPhoto Detected on Your mrsfu.org Account.Dear Itsuko,

This is a courtesy notice to inform you that we have found an exploitable instance of the ZenPhoto “ajaxfilemanager” plugin on your account. We have disabled this plugin for you, and highly advise that you update your Zenphoto software to the latest available version to prevent possible compromise.

The latest version of the ZenPhoto software is immediately available for use in your Simple Scripts installer, or you may obtain the latest version from the developer’s website and update manually.

The updated version from the developer website can be found here:

http://www.zenphoto.org/

私は、ひとつテストに1.4.1.5をハッキングからの回復（ZenPhotoの脆弱性と今回の自動インストールサイトの対策）の後インストールをしていましたので、それに対する指摘です。
それでSimpleScriptでバージョンアップをしたのですが、すでにバージョンアップ済みというメッセージがでました。

SimpleScriptは自動インストールサイトです。この度Zenphotoの脆弱性が見つかったのですが、それに対してSimpleScriptはインストールを1.3.1.2とし、それ以降のバージョンアップ（1.4.1.5）はインストール後にその間のバージョンを飛ばして案内をしました。それに対してZenphotoサイトで質問した方がいて、
「ひとつずつ　バージョンをあげて行くのが本当ではないか？　SimpleScriptは1.3.1.2から現在までを飛ばしているのはなぜ？」
「わからない　SimpleScriptに尋ねてください」
というやりとりがありました。
1.4.1.6になって、これでやっとバージョンが本家とそろったことになります。
実際この脆弱性をやっつけるためには、サーバーの中にはいってファイルやフォルダを削除しなければなりませんでした。自動のアンインストールでは効き目がありません。サーバーに自由に入れないサイト契約をしている場合は自分のレンタルサーバーにやってもらわないといけなくなったと思います。
すでに1.4.2のベータ版がリリースされていて、バージョンアップがここのところ頻繁ですのでこれからも注視していきたいと思います。

Zenphotoはphp5.3以上を推奨していてHostmonsterはまだ5.2で追い付いていません。頼めばやってくれるそうですけど、Hostmonsterは今テスト中と言っています。
サポートのチャットで聞きました。いろいろな母国語の人の質問をうけているので、サポートも大変かなと思いますけど結構気楽に絵文字が来たり、慣用語が来たりで切羽詰まっていなければ楽しいかなと思います。
　
a couple hour　って何時間？　って聞いたら
その前にバイバイされてしまいました。

SimpleScriptは過去バージョンもインストールができます。日本のインストールサイトはどうだろう？　

Hostmonsterは高機能、でもサービスが止まったりして不安定。こわおもしろいですが、どうでしょ。