情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は11月27日,オープンソースのブログ・ソフトウエア「tDiary」にクロスサイト・スクリプティングの脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。tDiaryにログイン済みの管理者ユーザーが,Webブラウザ上で悪意のあるスクリプトを実行されてしまう可能性がある。tDiary 2.0.2およびそれ以前の安定版,tDiary 2.1.4.20061115およびそれ以前の開発版が影響を受ける。対策は最新バージョンにアップデートするかパッチを適用すること。
tDiaryはオープンソースのオブジェクト指向プログラミング言語Rubyで開発されたブログ(Web日記)ソフトウエア。Rubyの作者であるまつもとゆきひろ氏をはじめとする多くのRubyコミュニティ・メンバーや,セキュリティ研究者の高木浩光氏らがtDiaryでWeb日記を運営,公開している。
今回公開された脆弱性は,tDiaryにログイン済みの管理者ユーザーが,悪意のある第三者のWebページなどにアクセスすると,そこに埋め込まれた任意のスクリプトを,tDiary管理者権限で実行されてしまう可能性があるというもの。これにより,tDiary上に悪意のある日記が作成されてしまうなどの危険がある。
tDiary公式サイトによれば,脆弱性が存在するのは日記管理者のみがアクセスできる設定画面であり,日記を閲覧するユーザーには直接の危険はないという。ただし,脆弱性を突くことで作成された悪意ある日記が公開されることにより,それを閲覧したユーザーが影響を受ける可能性はあると注意を喚起している。
tDiaryの最新バージョンおよびパッチは,tDiary公式サイトなどからダウンロードできる。
◎関連資料
◆tDiaryの脆弱性に関する報告(2006-11-26)(tDiary公式サイト)
◆tDiary 2.1系の脆弱性対応(tDiary公式サイト)
◆JVN#47223461
「tDiary」におけるクロスサイト・スクリプティングの脆弱性(IPAセキュリティセンター)
◆JVN#47223461 tDiary におけるクロスサイトスクリプティングの脆弱性(JVN)
