水無月ばけらのえび日記

この RSS は脆弱かも

この日記の RSS がおかしくなっているというご報告をいただいたのですが (ありがとうございます)、調べてみたら、なんと RSS 内の link 要素の URL を任意のホストのものに書き換えられてしまう脆弱性が存在することが分かりました。orz

hatomaru.dll 内で絶対 URL を出力するロジックに問題があるのですが、RSS 以外では全て相対参照にしているはずなので、RSS 以外では問題は起きていないと思います。逆に言うと、RSS に出力されている URL は改竄されている可能性があります。できるだけ早く修正しようと思いますが、直るまでの間は脆弱なままで運用しますので、RSS をご利用の方はご注意ください。

※追記 : IIS 側の設定をいじって対症療法を実施したので、とりあえず大きな問題はなくなったと思います。が、副作用として HTTP/1.0 でのアクセスができなくなっているかもしれません。まあ HTTP/1.0 は捨てでも良いかなと……。

• 「この RSS は脆弱かも」へのコメント (8件)

関連する話題: hatomaru.dll / セキュリティ