2010-02-25(木) [長年日記]
■ tDiary 2.2.3リリースと脆弱性のお知らせ
すでに今朝、オフィシャルサイトの方に出したのでお知らせだけ。tDiary 2.2.2(またはそれ以前)に付属のtb-send.rbプラグインにXSS脆弱性が見つかったので、2.2.3を出しました。
tDiary 2.2 + tb-send.rb + IE7による更新という、けっこう絞られた環境でしか発現しないので、必要に応じてアップデートして下さい。というか、もうTrackBackなんて使わなくていいんじゃね、という気もするけど、最近はどうなんですかね。おれはもう、2年くらい送ってない気がする。
謝辞にはないが、hsbtには、現在自宅警備員なのをいいことに、確認用のIE7を用意してもらうなど、いろいろ助けてもらった。ありがとう。
(EUC-JPの)tDiary 2.2とIE7の組み合わせが問題で、(UTF-8の)tDiary 2.3は無関係……という条件を見てピンときた人がいるかも知れないが、(たぶん)あまり知られていない攻撃手法なので、そのあたりの情報公開は(tDiary.orgサイドからは)控えた。おそらく情報提供サイドから追って何らかのアナウンスがある……んじゃないかなー。