てなわけで(とフリもないのに)、遂に公開されたTrackback の脆弱性についての勧告ですが、とりあえずは08/13に攻撃コードが公開されてしまうので、writebackに対策コードを追加して、blosxom starter kitを1.0.2に更新しました。
基本的な部分は何も変わっていないので、アーカイブに含まれる/plugins/writebackを差し替えるだけでOKです。注意としては、場合によって受信にトラブル(トラブルと言うのは正確ではないけれども)が発生することがありえるということです。ここらへんはトレード・オフするしかないと割り切って欲しいところ。細かい話は長くなるのでココでは書きません。もしどうしても細かい話が知りたいという場合は、直接フィードバック・フォームでお問い合わせください。テンプレートによる返事(!)が返信されると思います。
対処自体は、TrackBackの脆弱性についての勧告での対処法と同じで、
- リファラが送信された場合には拒否
- 正規表現"
^Mozilla/"にマッチするUAは拒否
というものです。同一のIPからの連続したTrackBackなどに対処していないので、部分的としておきました。なお、これらの対策はTrackBackに限ったもので、コメントには関係ありません。
あと、更新履歴にすら書いていない(良くない)ですが、/style-sytes.cssと/entries/foot.wikieditishが若干変更になっています。これはinput要素やtextareaの幅や高さに若干の調整を加えただけですので、「差し替えなくちゃ!」などと気にする必要はないです(多くの方はCSSで調整していると思われますしね)。全体的に大きくし、textareaのフォントを等幅にしてみました。本当は大幅に書き換えようかと思ったんですが、ちょっと整合性が取れそうもないのでためらっています。もしかしたら/entries/*.wikieditishだけをまとめたアーカイブを公開してテストしてもらうことになるかもしれません。ユーザーの皆さん、その折はよろしくお願いします。
バグ報告や機能改善要望、機能追加要望は、このエントリへのコメントやBBS、MLなどでお気軽にどうぞ。
この段落はテンプレ化してきました。