Geeklog増殖計画

遅ればせながら，先ほどGeeklog.jpに2つの脆弱性に関する記事を投稿した。

1つ目は，CSRF(Cross-Site Request Forgery)攻撃に関するもので，Geeklogに管理者としてログインしている場合，予期しないフォームを送信するなどの危険性がある。Geeklog-1.5.0では，フォーム表示時にデータベースにトークンを登録し，POST時に照合するというオーソドックスな対策をとっている。大規模なコードの改修を伴うため，Geeklog-1.4.xではこの問題に対応できない。せいぜい，管理者としてログインする期間を短くし，こまめにログアウトを心がけるしかない。

2つ目は，Geeklog内部でHTMLフィルタとして使用されているksesライブラリに脆弱性が見つかったというもの。HTMLフィルタでstyle属性を許可していなければ，問題にはならない。まあ，普通の管理者なら，一般ユーザに <img>タグや style属性の使用を許可してはいないだろうが...

そろそろ当サイトも1.5.0にアップグレードしなければならない状況になったようだ。しばらくは，自作のプラグインのアップグレードにまで手が回りそうにない。

タグ：セキュリティ csrf kses geeklog-1.5

---