Posted at 2004-08-07T13:04:00+09:00 in Blosxom
writebackがXSS脆弱性を抱えている指摘を受けたので、それに対処し、blosxom starter kitを1.0.3に更新しました。その脆弱性とは「writebackのパラメータに特定の文字列をセットして投稿すると、任意のJavaScriptコードを実行されてしまう」というもので、危険度は高いです。オリジナルのwritebackでもflavourの書き方によっては似たような脆弱性を抱えますので、オリジナルを利用している方も注意した方が良いかもしれません。MayimMayimさん、ご報告ありがとうございました。
更新したファイルは/plugins/writebackのみで、やったことはいわゆる「サニタイズ」の実装です。差し替えることを強く推奨します。これで任意のJavaScriptコードを実行されてしまうのは避けられると思いますが、僕の想像力の欠如で見逃していることもあるかもしれませんので、なにか見逃してそうなものを発見したら報告お願いします。
報告はもちろんこの脆弱性に限ったものでなくても結構ですが、blosxom本体にまつわるものの場合はなるべく本家MLの方へポストしていただくと良いかも。
バグ報告や機能改善要望、機能追加要望は、このエントリへのコメントやBBS、MLなどでお気軽にどうぞ。
いつのまにかhead.wikieditishにロボット避けのmeta要素が挿入されています。多分、1.0.1以降から。更新履歴に書き忘れていました。
同じカテゴリに分類された最近10件のエントリです。
JavaScriptに対応または有効な環境の場合、ここにはてなブックマークでのこのエントリに対するコメントが表示されます。
This page was last modified on 2006-08-22T16:06:08+09:00 (in 0.101 secs).
All contents of this site, unless otherwise noted, © 2002-2005 Kyo Nagashima, and some rights reserved.
If you have any questions or suggestions, please contact me via e-mail.
