tDiary 2.1系の脆弱性対応(2006-12-10)
追記(2006-12-13)
- 修正内容についての補足を追加。
2006年12月10日のtDiaryの脆弱性の公表を受け、2.1系開発版に対する対応状況を説明します。
パッケージのリリースは行いません
現在の2.1系の開発状況を鑑みて、現在のスナップショットはパッケージ化するだけの品質にないと判断し、2.1.5のリリースは行いません。2.1系利用者は、最新スナップショットへバージョンアップするか、2.1.4.20061210に対するパッチを適用するかを選択していただくことになります。
なお今回の修正パッチには、脆弱性を回避する目的を超える余計なエスケープが入ってしまっていますが、このために新たな脆弱性を引き起こすことはなく、動作の不具合にもつながらないため、このままとします。
(1) 最新スナップショットへのバージョンアップ
毎朝作成されている最新スナップショットに置き換えることで、脆弱性対策ができます。対策済みtDiaryのバージョンは2.1.4.20061210になります。ダウンロードは以下から可能です:
開発版では本体とプラグイン集が依存していることが多いため、基本セットを使う場合には一緒にプラグイン集(tdiary-plugin.tar.gz)も更新すべきでしょう。
(2) パッチの適用
スナップショットへの更新を行わない場合には、2.1.4.20061126に対する、脆弱性対応パッチを当ててください(2.1.4.20061126より前のバージョンにはXSS脆弱性が含まれているため、それ以前のバージョンの場合にはまず2.1.4.2006.20061126へのパッチの適用をしてください)。パッチは以下で公開しています。
tDiaryのインストールディレクトリに上記のファイルを置き、以下のコマンドを実行します:
patch -p0 < tdiary.20061210.patch