tDiary.orgは12月10日，Rubyベースのブログシステム「tDiary」の脆弱性を公表した。セキュアモードで運用されていない場合，Webサーバー上で任意のコマンドを実行される恐れがある。対策は，バージョン・アップまたはパッチの適用を行うこと。

　問題が存在するバージョンはtDiary 2.0.3およびtDiary 2.1.4.20061127。日記管理者が悪意ある外部のWebページにアクセスすることにより，ユーザーのWebブラウザ上で任意のスクリプトを実行される恐れがある。また，セキュアモードで運用されていない場合，Webサーバー上で任意のコマンドを実行される可能性がある。

　脆弱性を修正したtDiary 2.0.4 (安定版)が公開されている。またtDiary 2.1.4.20061126に対するパッチが提供されている。

　脆弱性は日記管理者がアクセスできる設定画面にあるため，日記を閲覧するだけのユーザーには直接の危険はない。ただし，この脆弱性により悪意ある日記が作成されると，それを閲覧したユーザーに影響が及ぶ可能性がある。

　tDiaryに対しては，11月27日にクロスサイト・スクリプティングの脆弱性が報告されている（関連記事）。tDiary.orgによれば今回の脆弱性は，11月27日の脆弱性対応が不十分であったために発生したものという。

　この脆弱性は独立行政法人 産業技術総合研究所 高木浩光氏により発見され，tDiary.orgに報告された。

◎関連情報
◆tDiaryの脆弱性に関する報告(2006-12-10)（tDiary.org）