2004/08/08 (Sun)

writebackplusのXSS脆弱性への対処

/blosxom

blosxom starter kit の writeback に XSS 脆弱性が存在する模様。 配布元であるhail2u.netにて、

で言及されています。心配になったので自分の所の writebackplus をチェックしてみたら、思いっきり穴が開いていました。ううむ。

というわけで、早速修正版を作りました。

変更点はプラグイン本体である 1writeback のみです。ご利用の方(いるのかな?)には入れ替えを強く推奨致します。なお、1writeback 中の6行目の更新日付が2004/08/07になっているものは不完全版(穴が残っている)なので、ダウンロードし直す必要があります。

ちなみに、本家writebackplus(v0.2) にも同様の問題があるので、気を付けないとまずいです。

Posted at 17:00 / Permanent Link / Comments(5) / Edit

Comments / TrackBack

お世話になっております
>ご利用の方(いるのかな?)
Posted by Jesuren at 2004/8/10 11:42:08
恐縮です
畏敬などと仰られると恐縮してしまいますが…
Posted by SnowyOwls at 2004/8/10 23:37:21
済みません
は畏敬>拝見のタイプミスですorz
Posted by Jesuren at 2004/8/11 03:27:43
アップデートうれしいです
 custom0.3を使わせていただいていましたが、最近コメントスパムがつくようになり、対策を考えていました。MTではすべて半角のコメントをはじくようにするのが有効との評判が高いようですが、久々に訪れてみると、custom0.4以降にこの機能が入ったのですね。早速導入しました。ありがとうございました。
Posted by PstrNS at 2004/8/12 20:22:57
writebackplus あれこれ(2)
writebackplus で保存したファイルの中に、改行を含むコメント/トラックバックがあった場合に、ダウンロードして再度アップロードすると不具合が出ます(改行の後ろが切れてしまう)。知ってはいたのですが、放置したままでした。とりあえず、改行は全て < br/> に置...
Posted by Nest of Snowy Owls at 2004/8/23 01:41:24



コメントをどうぞ...

お名前
URL / Email
タイトル
コメント
次の6文字を半角で入力してください      a4353a
名前とURL / Emailを保存する

TrackBack URL