tDiaryにXSSの脆弱性、修正版リリース
1 :無職は氏ね:
情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は
27日、Web日記の作成支援ソフト「tDiary」にクロスサイトスクリプティングの脆弱性が見つかったと発表した。
両者が共同で運営する脆弱性情報サイト「JVN(JP Vendor Status Notes)」において公表した。
今回見つかった脆弱性は、悪意ある第三者が特殊なURLや外部Webページを生成することで、ユーザーの
Webブラウザ上で任意のスクリプトを実行される可能性があるというもの。バージョン2.0.2以前の
安定版と2.1.4.20061115以前の開発版に存在する。
tDiary.orgによると、脆弱性があるのは日記管理者のみがアクセスできる設定画面上のため、
日記閲覧者には直接の危険はないという。
ただし、脆弱性を突くことで作成された悪意ある日記が公開される可能性があり、
日記閲覧者にも間接的には影響がありえるとしている。
なお、tDiary.orgでは26日、この脆弱性への対策を施したバージョン2.0.3(安定版)と、2.1.4用パッチ(開発版)
および最新スナップショットとなる2.1.4.20061126をリリースした。
ユーザーに対してバージョンアップやパッチの適用を呼びかけている。
ttp://internet.watch.impress.co.jp/cda/news/2006/11/27/14046.html
27日、Web日記の作成支援ソフト「tDiary」にクロスサイトスクリプティングの脆弱性が見つかったと発表した。
両者が共同で運営する脆弱性情報サイト「JVN(JP Vendor Status Notes)」において公表した。
今回見つかった脆弱性は、悪意ある第三者が特殊なURLや外部Webページを生成することで、ユーザーの
Webブラウザ上で任意のスクリプトを実行される可能性があるというもの。バージョン2.0.2以前の
安定版と2.1.4.20061115以前の開発版に存在する。
tDiary.orgによると、脆弱性があるのは日記管理者のみがアクセスできる設定画面上のため、
日記閲覧者には直接の危険はないという。
ただし、脆弱性を突くことで作成された悪意ある日記が公開される可能性があり、
日記閲覧者にも間接的には影響がありえるとしている。
なお、tDiary.orgでは26日、この脆弱性への対策を施したバージョン2.0.3(安定版)と、2.1.4用パッチ(開発版)
および最新スナップショットとなる2.1.4.20061126をリリースした。
ユーザーに対してバージョンアップやパッチの適用を呼びかけている。
ttp://internet.watch.impress.co.jp/cda/news/2006/11/27/14046.html
|
|
|
2 :五二六 ◆uqUGovZl.s :2006/11/27(月) 19:01:16 ID:NevlbhzT0
( ・´ー・`)へえ
3 :佐賀県『危機”管理”・広報課』:2006/11/27(月) 19:01:22 ID:BZf0/xCA0
シラネ
4 :近所の不審者:2006/11/27(月) 19:02:22 ID:suQ1/mgo0 BE:441564858-BRZ(5222)
よくこんなニュースでスレたてする気になるよね
今日のぎじゃくスレッドはここか