「Ghost」タグの記事が3件件あります

GhostCMSでシンタックスハイライトする時に読み込むCSSとJSが分からなくなるので、いくつかまとめて書き記しておく。

GhostCMSではPrism.jsが推奨されている為、Prism.jsを利用する。

Prism.js​

Prism is a lightweight, extensible syntax highlighter, built with modern web standards in mind. It’s used in millions of websites, including some of those you visit daily.

Prism

GhostCMSにPrism.jsを追加するには、Code Injectionにコードを貼り付ける。

CSSはヘッダー、JSはフッター

prism.min.css​

Themeが存在しており、必要に応じてデザインを変更可能。変更する場合は、prism.min.cssに変わってTheme cssを読み込む必要がある。

okaidiaの場合は、以下のコード

prism.min.js​

シンタックスハイライトしたい言語に応じて、pluginも読み込む必要がある。

Pythonの場合は、以下のコード

かなりの数のPluginが存在するため、適時cdnjs.comを参照することを推奨

prism - Libraries - cdnjs - The #1 free and open source CDN built to make life easier for developers

CMSのGhostをDockerで利用する場合のdocker-compose.yml例

Ghost: Turn your audience into a business

データベースは、外部のものを利用することを想定

version: '3.1'

services:

  ghost:
    image: ghost:alpine
    container_name: ghost
    restart: always
    ports:
      - 80:2368
    environment:
      database__client: mysql
      database__connection__host: [DB_HOST]
      database__connection__user: [DB_USER]
      database__connection__password: [DB_PASSWORD]
      database__connection__database: [DB_DATABASE]
      url: https://example.com
      mail__transport: SMTP
      mail__options__host: [MAIL_HOST]
      mail__options__port: [MAIL_PORT]
      mail__options__auth__user: [MAIL_USER]
      mail__options__auth__pass: [MAIL_PASSWORD]
      mail__from: [MAIL_FROM]
    volumes:
      - ./content:/var/lib/ghost/content

データベース​

DB_HOST: データベースのホスト名
DB_USER: データベースのユーザー名
DB_PASSWORD: データベースのパスワード
DB_DATABASE: データベース名

メール​

MAIL_HOST: メールサーバーのホスト名
MAIL_PORT: メールサーバーのポート番号
MAIL_USER: メールサーバーのユーザー名
MAIL_PASSWORD: メールサーバーのパスワード
MAIL_FROM: 送信用のメールアドレス

本投稿は以下で発表された内容の日本語翻訳です。正確性については保証しかねるので、必ず下記のURLも参照するようにしてください。 Build software better, together 影響を受けるバージョン：>=4.0.0 <4.3.3

パッチが適用されたバージョン：4.3.3

CVE ID​

CVE-2021-29484

CVSSスコア​

6.8 Moderate

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

説明​

4.0.0の開発中に追加された未使用のエンドポイントにより、ウェブサイトのGhostAdminに信頼できないユーザがアクセスする可能性があります。攻撃者は、ログインしたユーザに悪意のあるコードを含むリンクをクリックさせることでアクセスを取得できます。ユーザは資格情報を入力する必要がなく、悪意のあるウェブサイトにアクセスしたことを把握できない可能性があります。

Ghost(Pro)にはすでにパッチが適用されています。パッチが追加される前に、Ghost(Pro)で悪用されたという証拠は見つかりません。

Ghostを4.0.0から4.3.2の間のバージョンで実行すると、セルフホスティング機能が影響を受けます。ウェブサイトを保護するためには、直ちに対策を講じる必要があります。以下のパッチと回避策を参照してください。

パッチ​

4.3.3で修正されているため、全ての4.xサイトはできるだけ早くアップグレードする必要があります。

エンドポイントは使用されていないため、パッチはエンドポイントを削除するだけです。

回避策​

• Ghost Adminからログアウトします。
• ログアウトできないユーザを一時停止します
• /ghost/preview へのアクセスをブロックします。

nginxでアクセスをブロックする方法の例：

    location ~ /ghost/preview {
        rewrite ^(\/(.*\/)?ghost\/)(.*)$ $1 redirect;
    }

これによりエンドポイントが /ghost/ にリダイレクトされ、パッチが適用された後の動作が模倣されます。

参考​

Critical security update available for Ghost 4.x

詳細について​

この問題についての質問やコメントが有る場合：

[email protected]までメールでお問い合わせください。

クレジット：Paul Gerste、SonarSource（https://www.sonarsource.com/）