blosxom starter kit #19

Posted at 2004-08-07T13:04:00+09:00 in Blosxom

writebackがXSS脆弱性を抱えている指摘を受けたので、それに対処し、blosxom starter kitを1.0.3に更新しました。その脆弱性とは「writebackのパラメータに特定の文字列をセットして投稿すると、任意のJavaScriptコードを実行されてしまう」というもので、危険度は高いです。オリジナルのwritebackでもflavourの書き方によっては似たような脆弱性を抱えますので、オリジナルを利用している方も注意した方が良いかもしれません。MayimMayimさん、ご報告ありがとうございました。

更新したファイルは/plugins/writebackのみで、やったことはいわゆる「サニタイズ」の実装です。差し替えることを強く推奨します。これで任意のJavaScriptコードを実行されてしまうのは避けられると思いますが、僕の想像力の欠如で見逃していることもあるかもしれませんので、なにか見逃してそうなものを発見したら報告お願いします。

報告はもちろんこの脆弱性に限ったものでなくても結構ですが、blosxom本体にまつわるものの場合はなるべく本家MLの方へポストしていただくと良いかも。

バグ報告や機能改善要望、機能追加要望は、このエントリへのコメントやBBS、MLなどでお気軽にどうぞ。

追記@2004/08/08

いつのまにかhead.wikieditishにロボット避けのmeta要素が挿入されています。多分、1.0.1以降から。更新履歴に書き忘れていました。