tDiary.org - 日記コミュニケーションを加速する


tDiary 2.1系の脆弱性対応(2006-12-10)

Last Update: 2007-12-24 22:34:47

追記(2006-12-13)

  • 修正内容についての補足を追加。

2006年12月10日のtDiaryの脆弱性の公表を受け、2.1系開発版に対する対応状況を説明します。

パッケージのリリースは行いません

現在の2.1系の開発状況を鑑みて、現在のスナップショットはパッケージ化するだけの品質にないと判断し、2.1.5のリリースは行いません。2.1系利用者は、最新スナップショットへバージョンアップするか、2.1.4.20061210に対するパッチを適用するかを選択していただくことになります。

なお今回の修正パッチには、脆弱性を回避する目的を超える余計なエスケープが入ってしまっていますが、このために新たな脆弱性を引き起こすことはなく、動作の不具合にもつながらないため、このままとします。

(1) 最新スナップショットへのバージョンアップ

毎朝作成されている最新スナップショットに置き換えることで、脆弱性対策ができます。対策済みtDiaryのバージョンは2.1.4.20061210になります。ダウンロードは以下から可能です:

開発版では本体とプラグイン集が依存していることが多いため、基本セットを使う場合には一緒にプラグイン集(tdiary-plugin.tar.gz)も更新すべきでしょう。

(2) パッチの適用

スナップショットへの更新を行わない場合には、2.1.4.20061126に対する、脆弱性対応パッチを当ててください(2.1.4.20061126より前のバージョンにはXSS脆弱性が含まれているため、それ以前のバージョンの場合にはまず2.1.4.2006.20061126へのパッチの適用をしてください)。パッチは以下で公開しています。

tDiaryのインストールディレクトリに上記のファイルを置き、以下のコマンドを実行します:

patch -p0 < tdiary.20061210.patch
コメント(4) [コメントを投稿する]
小川 (2006-12-10 23:12)

patchファイルが 404 Not Found になってしまっているようです。

ただただし (2006-12-10 23:28)

すみません、ファイル名を間違えていました。いまはGETできます。

おじぃ (2006-12-11 10:22)

skel/conf.rhtmlへのパッチで失敗します。パッチファイルはRevision: 1.28への適用を期待している様ですが、2.1.4に含まれているのはRevision: 1.25です。これが原因でしょうか。

ただただし (2006-12-13 00:26)

対応が遅れて申しわけありません。パッチを置き換えました。


«tDiaryの脆弱性に関する報告(2006-12-10) 最新 tDiary 2.0.4リリース» 編集
Fork me on GitHub