tDiary.org - 日記コミュニケーションを加速する


tDiaryの脆弱性に関する報告(2006-12-10)

Last Update: 2006-12-13 00:56:33

追記(2006-12-13)

  • 「想定される影響」からXSSを削除(JavaScriptを実行されることはないので、XSSではありませんでした)。
  • 謝辞に大岩 寛さんを加えました。

Web日記支援システムtDiaryにおいて、脆弱性が発見されました。実行環境によっては非常に危険な脆弱性なので、以下の説明を読んで、早急な対応をお願いします。

対象

この問題が存在するtDiaryは以下のバージョンです。

  • tDiary 2.0.3
  • tDiary 2.1.4.20061127

この脆弱性は2006年11月26日の脆弱性対応で対応が不十分であったために発生したものです。

想定される影響

悪意ある第三者が特殊なURLや外部ウェブページを生成することで、Webサーバ上にて任意のコマンドを実行される可能性もあります。ただし、セキュアモードで運用されている場合にはこの攻撃は成功しません。

なお、脆弱性があるのは日記管理者のみがアクセスできる設定画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。

対策

tDiary開発プロジェクトでは、対策を実施した以下のバージョンおよびパッチを公開しています。

謝辞

本脆弱性情報は、下記の方から直接報告を受け、対応しました。ご協力に感謝します。

独立行政法人産業技術総合研究所
高木 浩光、大岩 寛
Tags: security
コメント(2) [コメントを投稿する]
arton (2006-12-10 23:01)

/静寂製/脆弱性/

ただただし (2006-12-10 23:05)

どうもです。直しました。


«tDiary 2.0.3リリース 最新 tDiary 2.1系の脆弱性対応(2006-12-10..» 編集
Fork me on GitHub