まだ重たいCMSをお使いですか?
毎秒1000リクエスト を捌く超高速CMS「adiary」
毎秒1000リクエスト を捌く超高速CMS「adiary」
2009/06/28(日)adiary セキュリティアナウンス
adiary Ver1.992~Ver2.08を第3者にレンタルしている場合、セキュリティ上重大な欠陥がありますので、直ちに以下の差分を適用してください。
adiaryを設置者個人で利用している場合はこの問題の影響を受けません。
問題の詳細
本来なら許可されない埋め込みテキストへのJavaScript等の記述が、トラストモードの設定に関わらず常に許可されていました。これは開発時のデバッグコードが、開発完了後もそのまま残り続けたことが原因です。
第3者にJavaScriptの埋め込みを可能とすることでセッションCookieの盗聴が可能になり、これによりadiaryを利用する他のアカウントをセッションハイジャックされる危険性があります。
修正の詳細
■修正前
$tag_escape->{allow_anytag} = 1; #$self->{trust_mode};
■修正後
$tag_escape->{allow_anytag} = $self->{trust_mode};
2009/04/22(水)IE + UTF-8版での問題 (adiary Ver2.06)
adiary 2.06のUTF-8版使用時、IEでJavaScriptエラーが起こります。
JavaScript文字コードとHTML文字コードの一致させないと問題が起こるIEが原因です。念のため次のファイルの文字コードを UTF-8 に置き換えてください。
theme/resizeform.js
文字コード変換がよくわからないという人は、以下のファイルを解凍して上書きしてください。