いつきコンテンツ

ヘルプ

カウンター


2006-11-28 コッソリパッチあててみた

[tDiary] 「tDiary」にクロスサイトスクリプティングの脆弱性の件で。

でもめんどくさいからversionは2.0.0のまま(ェー

いや、パッチの数が多くてね?

やり方:この辺からtdiary.20061126.patchを見て、それらしいところを修正。

つか引用使わずにpreで書いて申し訳ないが…

Index: tdiary.rb
===================================================================
--- tdiary.rb 19 Jul 2006 13:09:11 -0000 1.282
+++ tdiary.rb 26 Oct 2006 12:07:54 -0000
@@ -1510,7 +1510,7 @@

def initialize( cgi, rhtml, conf )
super
- @key = @cgi.params['conf'][0]
+ @key = CGI::escapeHTML( @cgi.params['conf'][0] )
end
end

Index: skel/conf.rhtml
===================================================================
--- skel/conf.rhtml.orig 2005-09-16 13:15:54.000000000 +0900
+++ skel/conf.rhtml 2006-11-26 14:42:17.000000000 +0900
@@ -14,6 +14,6 @@
<form class="conf" method="post" action="<%= @conf.update %>"><div>
<input type="hidden" name="conf" value="<%=@key%>">
<%=@csrf_protection%>
- <%%=conf_proc( "#{@cgi.params['conf'][0]}" )%>
+ <%%=conf_proc( "<%=@key%>" )%>
<div><input type="submit" name="saveconf" value="OK"></div>
</div></form>

影響範囲が小さいのでcgi.params['conf']当たりで検索すればどこか予測がつくと思います。「全部バージョン上げてる余裕ねーよww」って人はどうぞ。っておいらくらいか。

Last Update: 2006-11-28 22:53:19

カレンダー

2003|04|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|07|08|11|
2013|03|05|08|
2014|01|
2015|04|05|06|07|09|10|12|
2016|01|03|05|06|10|11|
2017|06|
2018|05|08|09|10|11|
2019|04|08|
Generated by tDiary version 4.1.2 + amazon(DB Patch 0.2.1) + counter(DB Patch 0.2) + IKPatch version beta 4.0.1.
Powered by Ruby version 2.1.5-p273 with ruby-fcgi