tDiaryの脆弱性に関する報告(2006-11-26)
Last Update: 2006-11-28 23:21:18
Web日記支援システムtDiaryにおいて、クロスサイト・スクリプティング(XSS)の脆弱性が発見されました。以下の説明を読んで、対応をお願いします。
対象
この問題が存在するtDiaryは以下のバージョンです。
- tDiary 2.0.2およびそれ以前の安定版
- tDiary 2.1.4.20061115およびそれ以前の開発版
想定される影響
悪意ある第三者が特殊なURLや外部ウェブページを生成することで、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性があります。
なお、脆弱性があるのは日記管理者のみがアクセスできる設定画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。
対策
tDiary開発プロジェクトでは、対策を実施した以下のバージョンおよびパッチを公開しています。
- tDiary 2.0.3 (安定版) リリースノートを参照
- tDiary 2.1.4に対するパッチ (開発版) リリースノートを参照
謝辞
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダとの調整を行いました。
株式会社セキュアスカイ・テクノロジー 福森 大喜 氏
http://b.hatena.ne.jp/HiromitsuTakagi/<br>にあるように、@secure の設定によってはサーバにも危険な影響がありますか?
実際にそこまで複雑なスクリプトが実行可能かわかりません。「可能性は否定できない」とは思います。