<< | 2008-7 | >> | ||||
日 | 月 | 火 | 水 | 木 | 金 | 土 |
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
2008-7-16
FSWiki 3.6.2(3.6.3 dev3以前の開発版含む)向けのセキュリティパッチを公開しました。以下のURLからダウンロード可能です。
FSWikiで使用しているCGI::SessionはCGISESSIDというCookieにセッションIDを格納し、セッションIDをファイル名としてサーバ上にセッション情報を保持します。このときセッションIDに相対パスが含まれていると、CGIスクリプトのパーミッション設定が不適切な場合、セッション情報ファイルがサーバ上の任意の場所に生成される可能性があります。今回のパッチを適用することでセッションIDにアルファベットと数字以外は許容しないようになります。この問題はCGI::Session 4.34で修正されているため、将来的にはCGI::Sessionを最新版にバージョンアップする予定です。
2008-7-3
FSWiki 3.6.2(3.6.3 dev3以前の開発版含む)向けのセキュリティパッチを公開しました。以下のURLからダウンロード可能です。
FSWiki のソースメニューでIEでWikiページのソースを表示する際、ページの内容にHTMLタグが含まれているとテキストではなくHTMLとして表示されてしまい、任意のJavaScriptコードが実行される可能性があります。この問題への対処として、IEの場合はソースの表示時にブラウザ上で表示せず、強制的にダウンロードさせるようにしました。パッチの適用方法はダウンロードしたファイルに含まれるreadme.txtを参照してください。