2005-07-21 [長年日記]

_1 [Wiki] Hiki 0.8.2 リリース!

Hiki 0.8.2 をリリースしました。→ ダウンロード

Hiki 0.8.1 におけるクロスサイト・スクリプティング脆弱性に対する修正が含まれていますので、Hiki 0.8.0 - 0.8.1 をご利用の方は速やかにアップデートしてください。お手数をおかけしますがよろしくお願いします。

脆弱性の詳細については http://hikiwiki.org/ja/advisory20050721.html をご覧ください。

[追記] 一部のファイルのコミット忘れがあり、10:30 にリリースしなおしました。

md5sum 0d787fc11f57b321570b0d585ef7538f

が正しいファイルです。

_2 Vulnerability in tDiary

tDiary-devel ML にも投げましたが、tDiary の脆弱性に関する報告の抄訳です。つっこみよろしくお願いします。

tDiary, a Web-based diary system (like weblog), contains a 'Cross-Site Request Forgeries' vulnerability.

Systems affected

  • tDiary 2.0.1 or before
  • tDiary 2.1.1

Impact

A remote attacker can lead a login user to some URIs or web sites that may cause editing or deleting diaries, changing configurations, or running the arbitrary code with the privileges of the tDiary CGI.

Solution

The tDiary Development Project released the following version that fixes this vulnerability.

  • tDiary 2.0.2 (Stable)
  • tDiary 2.1.2 (Development)

Acknowledgements

  • Yutaka OIWA and Hiromitsu TAKAGI (Research Center for Information Security, National Institute of Advanced Industrial Science of Technology)
  • JPCERT/CC

[追記] ツッコミその他でご意見をくださったみなさんありがとうございました。その後 ML などでのやりとりを経て、http://sourceforge.net/forum/forum.php?forum_id=482743で正式にリリースされました。

本日のツッコミ(全3件) [ツッコミを入れる]
_ むらけん (2005-07-21 10:47)

お疲れ様です.

_ ,ばば (2005-07-21 12:50)

いただきました^^;

_ tamo (2005-07-21 23:18)

英訳で "a login user" の部分、"a logged in user" や "an already logged-in user" などではいかがでしょうか。
Google を根拠にしてはいけないと思うんですけど、いちおう "a login user" 約 5000 ヒットに対して "a logged-in user" 約 20000 ヒットでした。

あと、diaries のあたりは、被害者ユーザは自分の日記しか編集できないので単数にして、
"... that may modify, delete or re-configure the user's diary.
Even worse, the attacker could execute arbitrary code..."
みたいな感じにしてみてはいかがでしょう。

また、"the following version" は複数にすべきかも?

最後に、Acknowlegements の部分は名前を書くだけじゃなくて、
それらの人が何をしてくれたかを書くのが普通かもしれません。
"Yutaka OIWA and Hiromitsu TAKAGI reported this vulnerability to the IPA."
"JPCERT/CC contacted to the tDiary development project as a mediator."
とか???

ぜんぶ自信ありませんけど、参考になれば幸いです。

[]