tDiary 2.1系の脆弱性対応(2006-12-10)
Last Update: 2007-12-24 22:34:47
パッケージのリリースは行いません
現在の2.1系の開発状況を鑑みて、現在のスナップショットはパッケージ化するだけの品質にないと判断し、2.1.5のリリースは行いません。2.1系利用者は、最新スナップショットへバージョンアップするか、2.1.4.20061210に対するパッチを適用するかを選択していただくことになります。
なお今回の修正パッチには、脆弱性を回避する目的を超える余計なエスケープが入ってしまっていますが、このために新たな脆弱性を引き起こすことはなく、動作の不具合にもつながらないため、このままとします。
(1) 最新スナップショットへのバージョンアップ
毎朝作成されている最新スナップショットに置き換えることで、脆弱性対策ができます。対策済みtDiaryのバージョンは2.1.4.20061210になります。ダウンロードは以下から可能です:
開発版では本体とプラグイン集が依存していることが多いため、基本セットを使う場合には一緒にプラグイン集(tdiary-plugin.tar.gz)も更新すべきでしょう。
(2) パッチの適用
スナップショットへの更新を行わない場合には、2.1.4.20061126に対する、脆弱性対応パッチを当ててください(2.1.4.20061126より前のバージョンにはXSS脆弱性が含まれているため、それ以前のバージョンの場合にはまず2.1.4.2006.20061126へのパッチの適用をしてください)。パッチは以下で公開しています。
tDiaryのインストールディレクトリに上記のファイルを置き、以下のコマンドを実行します:
patch -p0 < tdiary.20061210.patch
patchファイルが 404 Not Found になってしまっているようです。
すみません、ファイル名を間違えていました。いまはGETできます。
skel/conf.rhtmlへのパッチで失敗します。パッチファイルはRevision: 1.28への適用を期待している様ですが、2.1.4に含まれているのはRevision: 1.25です。これが原因でしょうか。
対応が遅れて申しわけありません。パッチを置き換えました。