tDiary.org - 日記コミュニケーションを加速する


tDiaryの脆弱性に関する報告(2006-11-26)

Last Update: 2006-11-28 23:21:18

Web日記支援システムtDiaryにおいて、クロスサイト・スクリプティング(XSS)の脆弱性が発見されました。以下の説明を読んで、対応をお願いします。

対象

この問題が存在するtDiaryは以下のバージョンです。

  • tDiary 2.0.2およびそれ以前の安定版
  • tDiary 2.1.4.20061115およびそれ以前の開発版

想定される影響

悪意ある第三者が特殊なURLや外部ウェブページを生成することで、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性があります。

なお、脆弱性があるのは日記管理者のみがアクセスできる設定画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。

対策

tDiary開発プロジェクトでは、対策を実施した以下のバージョンおよびパッチを公開しています。

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダとの調整を行いました。

株式会社セキュアスカイ・テクノロジー
福森 大喜 氏
Tags: security
コメント(2) [コメントを投稿する]
tamo (2006-11-28 22:50)

http://b.hatena.ne.jp/HiromitsuTakagi/<br>にあるように、@secure の設定によってはサーバにも危険な影響がありますか?

ただただし (2006-11-28 23:21)

実際にそこまで複雑なスクリプトが実行可能かわかりません。「可能性は否定できない」とは思います。


«ふたたび2.0安定版Amazonプラグインの更新 最新 tDiary 2.1系の脆弱性対応» 編集
Fork me on GitHub