tDiary にクロスサイトスクリプティング脆弱性 7
ストーリー by kazekiri
みんなでアップデート 部門より
みんなでアップデート 部門より
tamo 曰く、
tDiary の管理者用設定画面に任意のスクリプトを埋めることのできる脆弱性が発見されました。 この脆弱性は、安定版の 2.0.2 までと開発版の 2.1.4.20061115 までに存在します。 安定版をご利用の場合は 2.0.3、開発版をご利用の場合は最新スナップショットかパッチにより修正してください。 なお、この脆弱性は 株式会社セキュアスカイ・テクノロジー福森大喜氏が IPA に報告し、開発者が対策をした上で、 JVN#47223461として公表されています。
高木浩光先生のコメント (スコア:3, 参考になる)
だそうです。
追加修正 (スコア:2)
2006-12-10 [tdiary.org]の公式アナウンスもあります。
安定版は 2.0.4 が出てます。
何の機能 (スコア:1)
もうちょっと詳しく説明してくれないでしょうかね。
#まあ説明しちゃったら悪用されるかもしれないっていうんだろうけど。
Re:何の機能 (スコア:3, 参考になる)
分かる人には日本語より分かり易いのかもw
Re:何の機能 (スコア:1)
変な URL をクリックしたらスクリプト入り設定画面に飛んで、
勝手に日記を書き換えられたり日記の重要なデータを盗まれたり
しちゃうかも、ということのようです。おそらく。
Re:何の機能 (スコア:4, 参考になる)
「追記」あるいは「編集」をクリックして、
そこから「設定」をクリックすると設定画面になることを
ご存じと思いますが、その「設定」リンクはとなっています。たぶんこの「default」という
任意入力をエスケイプすることなく設定画面の
HTML に出力しちゃっていたので、conf=<script>alert()...
みたいなことができかねない、ということかと。
$ head -n 5 tdiary-2.0.3/ChangeLog (スコア:0)
* tdiary.rb, skel/conf.rhtml: security fix: escape HTML for conf parameter
in update.rb.
* tdiary/defaultio.rb: fix bug: error on Ruby 1.6.
* release 2.0.3.