2005年9月22日、tDiaryの実行プラットフォームであるRubyに、脆弱性があることが明らかにされました(→セーフレベルの設定が回避可能となる脆弱性について(ruby-lang.org))。tDiaryではRubyのセーフレベルを活用して「セキュアモード」を実現しており、この脆弱性の影響を受けます。

以下に当てはまる環境でtDiaryを運用している方は、上記リンクにある対策を速やかに施すよう、お願いいたします。

「セキュアモード」で日記を運用している

tdiary.conf内で「@secure = true」と指定して、信用できない第三者に日記をレンタルしているような場合、日記ユーザによってWWWサーバの権限で任意のコマンドを実行される恐れがあります。さらに、tDiaryのバージョンが2.0.1以前もしくは2.1.1以前の場合には、任意の第三者によって同様の行為を実行される可能性もあります。

対策方法

rubyのバージョンを、1.8.3以上にあげるか、旧バージョン(1.6.8、1.8.2)に対策パッチをあてる。この対策が済むまでは、セキュアモードの日記の運用は休止すべきです。

また、脆弱性を含むtDiary(2.0.1以前もしくは2.1.1以前)を使用している場合には、一緒に対策済みバージョンである2.0.2もしくは2.1.2へのアップデートをしてください。詳細は2.0.2、2.1.2のリリース文を参照してください。

「セキュアモード」は使っていない

今回のRubyの脆弱性は、セキュアモードでのみ問題になるものです。tdiary.confで「@secure = true」と指定していない場合には危険はありません。

ただし、非セキュアモードであっても、tDiaryのバージョンが2.0.1以前もしくは2.1.1以前の場合には別の脆弱性が明らかになっています。速やかにtDiaryを2.0.2もしくは2.1.2へアップデートしてください。詳細は2.0.2、2.1.2のリリース文を参照してください。