tDiary.org
Web日記支援システムtDiaryにおいて、クロスサイトスクリプティング(XSS)脆弱性が発見されました。脆弱性が発現する環境が限定的なので、以下の説明を読み、対象の環境をお使いの方は早急な対応をお願いします。 対象 この問題が存在するtDiaryは以下のバージョンです。 tDiary 2.2.2 およびそれ以前 (フルセットおよびプラグイン集) 上記バージョンのtDiaryを使い、さらに以下の条件をすべて満たした場合に発生します。 tb-send.rbプラグインが有効になっている Microsoft Internet Explorer 7 (IE7)を使っている (トラップとなるURLを経由して)日記を更新する 問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確
tDiary.org
この記事は、tDiaryをCVSを使ってアップデートしている方を対象としています。リリースパッケージを使っている方には関係ありません。 tDiaryのCVSリポジトリは現在、2008年2月29日にリリースされた2.2.1からブランチStable-2_2が切られています。これに伴い、従来Test_UTF8ブランチで開発してきたUTF-8版がTrunkにマージされる予定です。今後はじまる2.3系(開発版。将来の3.0)の開発は、文字コードをUTF-8として進める予定です。 Test_UTF8ブランチは第二tDiary.Netなどで長期間テストされてはいますが、まだデータ変換方法などについて仕様が固まっていないこともあり、EUC-JPで運用してきた2.2系から簡単に移行できるようにはなっていません。このため、CVS Trunkで運用してきた日記を迂闊にupdateすると、動かなくなります。 この
tDiary.org
追記(2006-12-13) 「想定される影響」からXSSを削除(JavaScriptを実行されることはないので、XSSではありませんでした)。 謝辞に大岩 寛さんを加えました。 Web日記支援システムtDiaryにおいて、脆弱性が発見されました。実行環境によっては非常に危険な脆弱性なので、以下の説明を読んで、早急な対応をお願いします。 対象 この問題が存在するtDiaryは以下のバージョンです。 tDiary 2.0.3 tDiary 2.1.4.20061127 この脆弱性は2006年11月26日の脆弱性対応で対応が不十分であったために発生したものです。 想定される影響 悪意ある第三者が特殊なURLや外部ウェブページを生成することで、Webサーバ上にて任意のコマンドを実行される可能性もあります。ただし、セキュアモードで運用されている場合にはこの攻撃は成功しません。 なお、脆弱性があるの
tDiary.org
Web日記支援システムtDiaryにおいて、クロスサイト・スクリプティング(XSS)の脆弱性が発見されました。以下の説明を読んで、対応をお願いします。 対象 この問題が存在するtDiaryは以下のバージョンです。 tDiary 2.0.2およびそれ以前の安定版 tDiary 2.1.4.20061115およびそれ以前の開発版 想定される影響 悪意ある第三者が特殊なURLや外部ウェブページを生成することで、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性があります。 なお、脆弱性があるのは日記管理者のみがアクセスできる設定画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。 対策 tDiary開発プロジェクトでは、対策を実施した以下のバージョンおよびパッチを公開しています。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
