tdiary の脆弱性(2007-07-23)
「tDiaryの脆弱性に関する報告(2007-07-23)」によると 脆弱性が、見つかったそうです。
以下の条件を 満たす場合に 「悪意ある第三者がツッコミをするだけで、任意のサイトを指すようなfeed(RSS)を生成してしまうことができ feed経由で日記を購読している読者は、悪意のあるサイトに誘導されることがある」そうです。
1. 以下のいずれかのバージョンのtDiaryを使用している(xは任意)
tDiary 2.0.x
tDiary 2.1.x
2. makerss.rbプラグインもしくはwhatsnew-list.rbプラグインを使ってfeed(RSS)を生成している
3. IPアドレスさえ合っていれば、任意のホスト名でのアクセスが可能になっている(※)
4. tdiary.confにて、base_urlを指定していない
対策は、tdiary.confに、以下の3行を追加する必要があります。
def base_url
'ここにあなたの日記のURLを記述'
end
「ここにあなたの日記のURLを記述」の部分は、日記のURLに置き換えてください。
なお、URLの両側にある「 ' ' 」は、必要ですので、削除しないようにする必要があるそうです。参考URL
