tDiary.orgは12月10日,Rubyベースのブログシステム「tDiary」の脆弱性を公表した。セキュアモードで運用されていない場合,Webサーバー上で任意のコマンドを実行される恐れがある。対策は,バージョン・アップまたはパッチの適用を行うこと。

 問題が存在するバージョンはtDiary 2.0.3およびtDiary 2.1.4.20061127。日記管理者が悪意ある外部のWebページにアクセスすることにより,ユーザーのWebブラウザ上で任意のスクリプトを実行される恐れがある。また,セキュアモードで運用されていない場合,Webサーバー上で任意のコマンドを実行される可能性がある。

 脆弱性を修正したtDiary 2.0.4 (安定版)が公開されている。またtDiary 2.1.4.20061126に対するパッチが提供されている。

 脆弱性は日記管理者がアクセスできる設定画面にあるため,日記を閲覧するだけのユーザーには直接の危険はない。ただし,この脆弱性により悪意ある日記が作成されると,それを閲覧したユーザーに影響が及ぶ可能性がある。

 tDiaryに対しては,11月27日にクロスサイト・スクリプティングの脆弱性が報告されている(関連記事)。tDiary.orgによれば今回の脆弱性は,11月27日の脆弱性対応が不十分であったために発生したものという。

 この脆弱性は独立行政法人 産業技術総合研究所 高木浩光氏により発見され,tDiary.orgに報告された。

◎関連情報
tDiaryの脆弱性に関する報告(2006-12-10)(tDiary.org)