tracpath は Git の脆弱性(CVE-2023-23946)および(CVE-2023-22490)への対応のための更新を実施済みです。(2023/02/16)
アナウンスGit
- “git apply” overwriting paths outside the working tree (CVE-2023-23946)
- Local clone-based data exfiltration with non-local transports (CVE-2023-22490)
投稿者「tracpath」のアーカイブ
Gitの脆弱性CVE-2022-41903およびCVE-2022-23521対応
分散型バージョン管理システムであるGitには重大な脆弱性が見つかりました。
Gitの脆弱性CVE-2022-41903およびCVE-2022-23521対応について報告します。
tracpath は Git の脆弱性 (CVE-2022-41903)および(CVE-2022-23521) への対応のための更新を実施済みです。(2022-01-25)
アナウンスGit 2.39.1 and others:https://groups.google.com/g/git-packagers/c/UFcv48uFXBU/m/h1hy4r_DAQAJ
https://raw.githubusercontent.com/git/git/master/Documentation/RelNotes/2.30.7.txt
年末年始冬季休業のお知らせ
平素より弊社ならびに弊社tracpathをご愛顧賜り、誠にありがとうございます。
誠に勝手ながら、tracpathサポートは下記の期間お休みを頂きます。
2022年12月29日(木)~2023年1月4日(水)まで
この期間中のお問い合わせフォームおよびE-mailによるお問い合わせは、24時間お受け致しますが、2023年1月5日(木)以降に順次対応させていただきます。
年末年始休業に伴い、ご不便をおかけ致しますが、何卒ご了承のほどよろしくお願い申し上げます。
尚tracpathは年末年始も通常通りお使い頂けます。
お問い合せはこちらからご連絡ください。
2022/01/23 (日) 2:00 – 3:00 計画メンテナンスのお知らせ
いつも tracpath をご利用頂き誠にありがとうございます。
tracpath の計画メンテナンスを実施予定です。メンテナンス中は tracpath にアクセスすることができません。 今回のメンテナンスは tracpath のサーバーメンテナンスを実施する計画です。
| 実施予定日 | 2022/01/23 2:00 – 3:00 (2022/01/22 土 26:00 開始) |
| 作業時間 | 約15分間を予定 |
| 内容 | サーバーメンテナンスのために計画メンテナンスを実施します。そのためサービス停止いたします。 |
| サービス | 実施予定時間のうち15分間程度すべてのサービスにアクセスすることができません。 |
お客様にはご迷惑をおかけしますが、ご理解とご協力をお願い致します。
メンテナンスに関するご質問は、こちらまでご連絡ください。
最新情報は Twitter (@tracpath) でも更新します。
2021年3月リリースのお知らせ
いつも tracpath をご利用頂き誠にありがとうございます。
2021年3月のリリースについてお知らせします。
- 2段階認証
- アクセストークン
2段階認証
2段階認証はユーザーアカウントのログインにパスワードだけでなく認証コードを必要にすることでそのユーザーアカウントのセキュリティを高めることができます。
この認証コードは Authy, Google Authenticator, Microsoft Authenticator のような2段階認証アプリをスマートフォンなどにインストールし、使用されているユーザーアカウントに設定を行うことで受け取れるようになります。
また、2段階認証を設定するとリポジトリや WebDAV に HTTPS での認証にパスワードが使えないようになります。ここではユーザーアカウントのパスワードの代わりに後述する「アクセストークン」機能または SSH を用いてアクセスします。
設定はログインし右上の歯車アイコンに表示されるメニューにある「2段階認証」から行うことができます。
アクセストークン
アクセストークンは HTTPS での認証にユーザーアカウントのパスワードの代わりに使用できる文字列を発行する機能です。また、アクセストークンごとにアクセス可能な範囲を設定することができます (たとえば Git のみや WebDAV のみなど)。
2段階認証を設定しているユーザーアカウントでは、パスワード単独での認証が通らないようになるためその際にもこのアクセストークン機能を使ってリポジトリなどにアクセスすることになります。
設定は、右上の歯車アイコンに表示されるメニューにある「アクセストークン」から行うことができます。
また、サイト設定に HTTPS 経由のパスワードによる認証を行わないようにする機能を追加しています。この設定を有効にすることでパスワードの総当りなどから防御することができます。
ご要望やご質問はこちらまでご連絡ください。
2021年2月リリースのお知らせ
いつも tracpath をご利用頂き誠にありがとうございます。
2021年2月のリリースについてお知らせします。
- 検索機能 (インクリメンタルサーチ) の改善
- markdown マクロと *.md ファイル表示
- チケットでメンション機能 (@username)
- チケット更新時の通知メールでコメントの内容を先に表示
- foldable マクロによる折りたたみ表示機能
検索機能 (インクリメンタルサーチ) の改善
検索結果を Wiki やチケットのカテゴリでフィルタするボタンを追加しました。また検索結果が20-25件程度しか表示されていなかったものを各カテゴリごとに100件まで表示できるようにしました。
markdown マクロと *.md ファイル表示
markdown マクロを追加しました。このマクロにより Wiki やチケットで Markdown 書式を使うことができます。また添付ファイルやリポジトリブラウザで *.md ファイルを参照すると Markdown 書式のファイルとして描画するようになっています。
チケットでのメンション機能 (@username)
通常、チケットのメール通知は報告者や担当者以外には関係者にユーザー名がなければ送られませんが、このメンション機能を使えばチケットの関係者を変更することなく、コメント欄に @username と記述するとそのユーザーにもメール通知が送られます。
チケット更新時の通知メールでコメントの内容を先に表示
チケット更新時の通知メールでコメントの内容をチケットの属性よりも先に表示するようにしました。これはたくさんのカスタムフィールドを設定しているようなときにコメントがすぐに見えないようなケースを考慮してこのように変更しています。
foldable マクロによる折りたたみ表示機能
Wiki やチケットで折りたたみ領域を作る foldable マクロを追加しました。初期状態では隠しておいてクリックすると内容を表示させる (またはその逆) といったことができます。
ご要望やご質問はこちらまでご連絡ください。
2020年12月リリースのお知らせ
いつも tracpath をご利用頂き誠にありがとうございます。
2020年12月のリリースについてお知らせします。
- 通知メールの送信者に更新者のユーザー名を表示
通知メールの送信者に更新者のユーザー名を表示
チケットや Wiki などの通知メールの送信者にその変更を行ったユーザーの名前を表示するようになりました。送信者のメールアドレスは以前と同じとなっています。
ご要望やご質問はこちらまでご連絡ください。
2020年11月リリースのお知らせ
いつも tracpath をご利用頂き誠にありがとうございます。
2020年11月のリリースについてお知らせします。
- 印刷用改ページマクロ PageBreak を追加
- 各プロジェクトからの通知メールに List-ID ヘッダーを設定
印刷用の改ページマクロ PageBreak を追加
Wiki ページを印刷するような場合に任意の箇所で改ページできるように [[PageBreak]] マクロを追加しました。印刷時にだけ機能しブラウザからの参照時には影響しません。
各プロジェクトからの通知メールに List-ID ヘッダーを設定
プロジェクトからの通知メールには List-ID: <{projname}.{hostname}> ヘッダーを設定するようにしました。プロジェクトからの通知メールをこのヘッダーに基づいて振り分けすることができます。
ご要望やご質問はこちらまでご連絡ください。
2020年2月リリースのお知らせ
いつも tracpath をご利用頂き誠にありがとうございます。
2020年2月のリリースについてお知らせします。
機能リリース
- WebDAV をブラウザで見たときの一覧にサイズ・最終更新日時を表示
WebDAV をブラウザで見たときの一覧にサイズ・最終更新日時を表示
WebDAV 領域をブラウザで参照するとファイルの名前のみが一覧で表示されているところに、ファイルサイズ・最終更新日時も表示するようにしました。
ご要望やご質問はこちらまでご連絡ください。
セキュリティ強化のため「TLS 1.0/1.1」による通信を停止
平素よりオープングルーヴの tracpath サービスをご利用頂き、誠にありがとうございます。
この度、tracpath において、下記日程で通信暗号化方式「TLS 1.0/1.1」を無効化し、今後、より安全な方式である「TLS 1.2 以降」の接続のみ接続可能となります。
これにより、無効化の実施以降、「TLS 1.0/1.1」で通信する OS やブラウザからは tracpath を利用いただけなくなります。ご確認のほど、よろしくお願い申し上げます。
実施日時
2020年2月29日(土)18:00(JST)予定
対象サービス
- tracpath(https://*.tracpath.com、https://*.ciklone.com)
停止の背景
「TLS 1.0/1.1」は HTTPS による暗号化通信を行うために通信方式です。「TLS 1.0/1.1」は暗号化技術としては旧方式であり、すでにいくつかの脆弱性が見つかっております。より安全なTLS 1.2への移行が推奨されています。
お客様に安心して tracpath をご利用いただくためにセキュリティ対策を最重要課題のひとつと考えております。そのため、一部のお客様のご利用に影響はございますが、「TLS 1.0/1.1」の無効化を行うことといたしました。
何卒ご理解くださいますよう、お願い申し上げます。
必要な対応
1. パソコン端末
以下のブラウザは TLS 1.2 をサポートしているため対応は不要です。
サポートブラウザ以外で tracpath のサービスをご利用の方は、ブラウザの変更をお願い致します。
- Internet Explorer 11
- 最新の Microsoft Edge
- 最新の Apple Safari
- 最新の Mozilla Firefox
- 最新の Google Chrome
- TLS 1.2の設定が無効の場合、TLS 1.2を有効にしてください。
また、Internet Explorer 11 をご利用中で、インターネットオプションのセキュリティ設定を変更して「TLS 1.2 以上」をすべて無効にされている場合、有効化が必要となります。ブラウザの設定をご確認いただき、必要な設定変更を実施してください。
2. モバイル端末
お客様の各端末の環境の OS をご確認ください。
Android OS 5 以上にアップデートして下さい。
3. リポジトリ
ご利用の Subversion または Git / Mercurial のバージョンをご確認いただき、TLS 1.2 の通信に対応するバージョンへのアップデートを実施してください。
以下のリポジトリツールは TLS 1.2 をサポートしていません。
- Subversion 1.8.x 以前 (TortoiseSVN 含む)
- Git for Windows 1.x 以前
- Python 2.6 以前を使用している Mercurial
- Java 7 以前を利用する各リポジトリクライアント
- WebDAV への Windows 7, Windows Server 2008 R2 から Web フォルダ利用
TLS 1.2 が利用できないブラウザや端末をお使いの皆様には、ご迷惑やお手間をとらせてしまい誠に恐れ入ります。
今回の対策はサービス全体のセキュリティを高め、より安全にご利用いただくため、ご理解とご協力のほどお願い致します。
お問い合わせ
何かご不明な点がございましたらこちらのお問い合わせまでお気軽にご連絡くださいませ。