7月 25

tDiaryの脆弱性に関する報告(2007-07-23)」によると 脆弱性が、見つかったそうです。
以下の条件を 満たす場合に 「悪意ある第三者がツッコミをするだけで、任意のサイトを指すようなfeed(RSS)を生成してしまうことができ feed経由で日記を購読している読者は、悪意のあるサイトに誘導されることがある」そうです。

1. 以下のいずれかのバージョンのtDiaryを使用している(xは任意)
    tDiary 2.0.x
    tDiary 2.1.x
2. makerss.rbプラグインもしくはwhatsnew-list.rbプラグインを使ってfeed(RSS)を生成している
3. IPアドレスさえ合っていれば、任意のホスト名でのアクセスが可能になっている(※)
4. tdiary.confにて、base_urlを指定していない

対策は、tdiary.confに、以下の3行を追加する必要があります。

def base_url
 ’ここにあなたの日記のURLを記述’
end

「ここにあなたの日記のURLを記述」の部分は、日記のURLに置き換えてください。
なお、URLの両側にある「 ‘ ’ 」は、必要ですので、削除しないようにする必要があるそうです。
参考URL

Comments are closed.

preload preload preload