tDiaryにクロスサイト・スクリプティングの脆弱性
情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)が、Rubyで書かれているツッコミ可能なWeb日記システム(ブログソフトウェア)「tDiary」にクロスサイトスクリプティングの脆弱性が見つかったと発表した。
対象となるのは、「tDiary 2.0.2およびそれ以前の安定版」「tDiary 2.1.4.20061115およびそれ以前の開発版」で、悪意ある第三者が特殊なURLや外部ウェブページを生成することで、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。
脆弱性があるのは日記管理者のみがアクセスできる設定画面上であるため、日記閲覧者には直接の危険はないももの、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため間接的には日記閲覧者にも影響がありえる。
JVN#47223461 tDiary におけるクロスサイトスクリプティングの脆弱性
tDiary開発プロジェクトでは対策を施した以下のバージョンおよびパッチを公開している。
対象となるのは、「tDiary 2.0.2およびそれ以前の安定版」「tDiary 2.1.4.20061115およびそれ以前の開発版」で、悪意ある第三者が特殊なURLや外部ウェブページを生成することで、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。
脆弱性があるのは日記管理者のみがアクセスできる設定画面上であるため、日記閲覧者には直接の危険はないももの、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため間接的には日記閲覧者にも影響がありえる。
JVN#47223461 tDiary におけるクロスサイトスクリプティングの脆弱性
tDiary開発プロジェクトでは対策を施した以下のバージョンおよびパッチを公開している。
- tDiary 2.0.3 (安定版)
- tDiary 2.1.4に対するパッチ (開発版)
[917] Posted by kagahiro at 2006/11/27 17:24:49
オープン | 2 point | Link (2) | Trackback (2) | Comment (0)
オープン | 2 point | Link (2) | Trackback (2) | Comment (0)
キーワード
tDiaryにクロスサイト・スクリプティングの脆弱性 関連リンク
| 情報セキュリティ | |
| 情報セキュリティとは、企業の資産である顧客情報や社員の個人データといった情報を守るための手段のことで... | |
| [ブログソフト]tDiary | |
| 「tDiary」は、Rubyで実装されているツッコミ可能なWeb日記システム(ブログソフトウェア)。tDiaryの公式サイト tDiary.org | |
tDiaryにクロスサイト・スクリプティングの脆弱性 トラックバック
トラックバックURL :
| Linked from 語句ログ : ブログ(blog) at 2006/11/27 17:28:59 | |
| ブログ(blog)とは、一般的に比較的短い記事が新しい順に時系列に並べられた形式で作成されたホームページ(Webサイト)のことで、もともとは、ウェブログ(Web上に残される記録という意味)と呼ばれていました。内容的には社会問題などを扱うジャーナリスティックなものから、個人的な日記やエッセイまで様々で、ブロガー(... | |
| Linked from 語句ログ : Ruby 関連書籍 at 2006/11/27 17:34:00 | |
| オブジェクト指向スクリプト言語RubyRubyの基本的な機能から、オブジェクトの概念、プログラムの設計・プログラミング方法まで、実例を交えながら解説されている。プログラミングRuby―達人プログラマーガイドチュートリアル、Ruby1.6の概要、Rubyの構造、シンタックス、命令等を詳細に説明。 Rubyでアプリケーションを書く... | |
tDiaryにクロスサイト・スクリプティングの脆弱性へのコメント
アクセスランキング
今日のアクセスランキング TOP 10
- 安全性重視の完全無料ナンピンマーチンEA「Million Dollar(ミリオンダラー)」 #FX #ゴールド #ビットコイン (7 PV)
- 無料のMT4向けナンピンマーチン爆益(爆損)EA「Jipangu(ジパング)」 (5 PV)
- 2NN 2ちゃんねるニュース速報+ナビ (5 PV)
- 自作のMT4向け無料EA(口座縛り無し、ブローカー縛り無し、使用期限無し)とゴゴジャン出品中の有料EAの一覧 #MT4 (3 PV)
- 裁量トレードを自動化する裁量補助EA「AutoScalper Demo」 (3 PV)
- Exness ソーシャルトレーディングの戦略プロバイダーになりました (2 PV)
- Million Dollar Ver 1.09向けの収益性を重視したゴールド(Gold、XAUUSD)ロングセットファイル (2 PV)
- Million Dollar Ver 1.09向けの収益性を重視したドル円(USDJPY)ロングセットファイル (2 PV)
- 完全無料のMT5用ナンピンEA「Nanpin K(ナンピンケイ) MT5」 使用制限無し (2 PV)
- SQLのSELECT文で先頭から上位(TOP)10件のレコードを取得する方法(SQL Server、Oracle、MySQL、PostgreSQL) (2 PV)
今月のアクセスランキング TOP 10
- 2NN 2ちゃんねるニュース速報+ナビ (3281 PV)
- SQLのSELECT文で先頭から上位(TOP)10件のレコードを取得する方法(SQL Server、Oracle、MySQL、PostgreSQL) (525 PV)
- 安全性重視の完全無料ナンピンマーチンEA「Million Dollar(ミリオンダラー)」 #FX #ゴールド #ビットコイン (102 PV)
- 自作のMT4向け無料EA(口座縛り無し、ブローカー縛り無し、使用期限無し)とゴゴジャン出品中の有料EAの一覧 #MT4 (93 PV)
- SQLiteのSELECT文で上位 (TOP) n件のデータを取得する (76 PV)
- 無料のMT4向けナンピンマーチン爆益(爆損)EA「Jipangu(ジパング)」 (68 PV)
- Million Dollar Ver 1.09向けの収益性を重視したゴールド(Gold、XAUUSD)ロングセットファイル (68 PV)
- 仲値トレードが簡単にできる無料EA「NAKANE3 Ver 2.04」 #MT4 (60 PV)
- [FX]裁量ポジションを簡単に管理できるMT4向け無料の裁量補助EA「PositionKeeper」 (54 PV)
- 2chまとめサイト - 痛いニュース(ノ∀`) (48 PV)
アクセス統計
ディレクトリ
関連サイト