水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > この RSS は脆弱かも

この RSS は脆弱かも

2007年4月18日(水曜日)

この RSS は脆弱かも

この日記の RSS がおかしくなっているというご報告をいただいたのですが (ありがとうございます)、調べてみたら、なんと RSS 内の link 要素の URL を任意のホストのものに書き換えられてしまう脆弱性が存在することが分かりました。orz

hatomaru.dll 内で絶対 URL を出力するロジックに問題があるのですが、RSS 以外では全て相対参照にしているはずなので、RSS 以外では問題は起きていないと思います。逆に言うと、RSS に出力されている URL は改竄されている可能性があります。できるだけ早く修正しようと思いますが、直るまでの間は脆弱なままで運用しますので、RSS をご利用の方はご注意ください。

※追記 : IIS 側の設定をいじって対症療法を実施したので、とりあえず大きな問題はなくなったと思います。が、副作用として HTTP/1.0 でのアクセスができなくなっているかもしれません。まあ HTTP/1.0 は捨てでも良いかなと……。

関連する話題: hatomaru.dll / セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト