Weblog

blosxom starter kit #19

Posted at 2004-08-07T13:04:00+09:00 in Blosxom

writebackがXSS脆弱性を抱えている指摘を受けたので、それに対処し、blosxom starter kitを1.0.3に更新しました。その脆弱性とは「writebackのパラメータに特定の文字列をセットして投稿すると、任意のJavaScriptコードを実行されてしまう」というもので、危険度は高いです。オリジナルのwritebackでもflavourの書き方によっては似たような脆弱性を抱えますので、オリジナルを利用している方も注意した方が良いかもしれません。MayimMayimさん、ご報告ありがとうございました。

更新したファイルは/plugins/writebackのみで、やったことはいわゆる「サニタイズ」の実装です。差し替えることを強く推奨します。これで任意のJavaScriptコードを実行されてしまうのは避けられると思いますが、僕の想像力の欠如で見逃していることもあるかもしれませんので、なにか見逃してそうなものを発見したら報告お願いします。

報告はもちろんこの脆弱性に限ったものでなくても結構ですが、blosxom本体にまつわるものの場合はなるべく本家MLの方へポストしていただくと良いかも。

バグ報告や機能改善要望、機能追加要望は、このエントリへのコメントやBBS、MLなどでお気軽にどうぞ。

追記@2004/08/08

いつのまにかhead.wikieditishにロボット避けのmeta要素が挿入されています。多分、1.0.1以降から。更新履歴に書き忘れていました。

Recent entries from same category

同じカテゴリに分類された最近10件のエントリです。

  1. 不明なflavour回避パッチの問題点
  2. 使用しているプラグイン
  3. はてなブックマークでつけられたコメントをblosxomにインクルード
  4. blosxomサイトの日本語訳
  5. interpolate_fancyプラグインの使い方
  6. blosxom plugin: ufyu
  7. SourceForge.netで開発されているblosxomはv2.0.2に
  8. push_if_first plugin
  9. paging plugin更新 #8
  10. エントリの日付と時刻をW3CDTFで

Comments

JavaScriptに対応または有効な環境の場合、ここにはてなブックマークでのこのエントリに対するコメントが表示されます。

Weblog archives

by Category

This page was last modified on 2006-08-22T16:06:08+09:00 (in 0.101 secs).