2008年10月20日(月曜日)
BlosxomのXSS脆弱性が修正
BlosxomのXSS脆弱性が修正されたようで。
- JVN#03300113 Blosxom におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
- JVNDB-2008-000073 Blosxom におけるクロスサイトスクリプティングの脆弱性 (jvndb.jvn.jp)
- CVE-2008-2236 (cve.mitre.org)
- Blosxom "flav" Cross-Site Scripting Vulnerability (secunia.com)
2007年の5月に届け出ていたやつですね。
BlosxomのパーマリンクなんかのURLから拡張子を削ると、こんなメッセージが表示されて……。
Error: I'm afraid this is the first I've heard of a "ht" flavoured Blosxom. Try dropping the "/+ht" bit from the end of the URL.
……まあ、あとはあえて説明しませんが。
Blosxom2.1.2で修正されている模様です。
関連する話題: セキュリティ / Web / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ
拡張子に脆弱性の気配を感じる人
マニュアルでそれ以外の何かであると偽装することが勧められているPHP (rryu.sakura.ne.jp)。
(拡張子がphpというだけで脆弱だと感じる人を除く)。
誰のことですかっ。
個人的な拡張子の印象(?)としては、.aspx < .jsp < .cgi << .php < .asp < .cfm といったところですかね……。
こう見ると意外にPHPはがんばっている気がしますが、.aspは非常に古いものが多いですし、.cfmは滅多に見ないので、.phpが目立つのかもしれません。
あと、Railsアプリなんかは拡張子なしがデフォルトだったり、拡張子だけでは分からないケースも増えていますね。
※かく言うこのサイトが拡張子なしですね。まあ.NETなのですが、ASP.NETの機能はほとんど使っていないという変なアプリでして……。
hatomaru.dll修正中
テスト中のhatomaru.dll (test.bakera.jp)は案の定バグが大量にあり、以下を修正。
- 用語集の用語一覧にいくつかの語がダブって表示されていたのを修正
- 用語集の用語一覧が正しくソートされていなかったのを修正
- 用語集のジャンル表示時、存在しないジャンルが指定されると例外で死亡していたのを修正
- 例外が発生したとき、ステータスコード200を返していたので500を返すように修正
- いくつかの画面で横のナビが正しくなかったのを修正
- Amazon API から応答が得られなかった際に死んでいたのを修正
あと、Not Found の画面を作り忘れていたので作らないと。
関連する話題: hatomaru.dll
- 前(古い): 2008年10月19日(Sunday)のえび日記
- 次(新しい): 2008年10月21日(Tuesday)のえび日記
