Geeklogに2つの脆弱性
- 2008年7月 5日(土) 17:56 (JST)
-
- 投稿者:
- mystral-kk
-
- 閲覧数
- 1,403
遅ればせながら,先ほどGeeklog.jpに2つの脆弱性に関する記事を投稿した。
1つ目は,CSRF(Cross-Site Request Forgery)攻撃に関するもので,Geeklogに管理者としてログインしている場合,予期しないフォームを送信するなどの危険性がある。Geeklog-1.5.0では,フォーム表示時にデータベースにトークンを登録し,POST時に照合するというオーソドックスな対策をとっている。大規模なコードの改修を伴うため,Geeklog-1.4.xではこの問題に対応できない。せいぜい,管理者としてログインする期間を短くし,こまめにログアウトを心がけるしかない。
2つ目は,Geeklog内部でHTMLフィルタとして使用されているksesライブラリに脆弱性が見つかったというもの。HTMLフィルタでstyle属性を許可していなければ,問題にはならない。まあ,普通の管理者なら,一般ユーザに <img>タグや style属性の使用を許可してはいないだろうが...
そろそろ当サイトも1.5.0にアップグレードしなければならない状況になったようだ。しばらくは,自作のプラグインのアップグレードにまで手が回りそうにない。
トラックバック
- このエントリのトラックバックURL:
- http://mystral-kk.net/trackback.php/20080705csrf_kses
この記事にはトラックバック・コメントがありません。
検索
話題
- ホーム
- JavaScript (1/0)
- GeekLog (75/0)
- Geeklog -- プラグイン (56/0)
- Geeklog - テーマ (3/0)
- Firefox (17/0)
- ソフトウェア (6/0)
- ゲーム (1/0)
- その他もろもろ (9/0)
サイト管理者はコメントに関する責任を負いません。