Hiki

[Hiki-dev:00539] (重要) Hiki の脆弱性に関する注意喚起 Part 2

Kazuhiko kazuh****@fdiar*****
2004年 6月 28日 (月) 01:24:33 JST

• 前の記事 [Hiki-dev:00538] 編集履歴にリンクを増やして欲しい
• 次の記事 [Hiki-dev:00540] mod_ruby 対応をマージしました
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

かずひこです。

先週の修正リリースにおいても、まだ一部の脆弱性が残っていました。

すでに修正済みの 0.6.5 がリリースされています。CVS の HEAD
(0.7-devel-20040627 以降) および v0_6 ブランチも修正されています。ご利用
の方は、上記の注意喚起をご覧の上、速やかにアップデートしてくださるようお
願いします。

HEAD では脆弱性の修正に加えて mod_ruby hiki パッチがマージされました。従
来のバージョンからアップデートするには設定ファイルの変更が必要になります。
詳しくは同梱の doc/VERSIONUP.txt をご覧ください。

たびたびご迷惑をおかけすることをお詫びするとともに、脆弱性の報告をくださっ
た方々に心より感謝いたします。

なお、前回および今回の脆弱性の詳細については、二週間後の 2004-07-12 に公
開する予定です。

http://www.namaraii.com/hiki/alert20040628.txt より。
============================== ここから ==============================
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

各位

                                                Hiki Development Team
                                                           2004-06-28

                     <<< Hiki Alert 2004-06-28 >>>

                     Hiki の脆弱性に関する注意喚起

                         Vulnerability of Hiki

             http://www.namaraii.com/hiki/alert20040628.txt

I. 概要

  Ruby で実装された Wiki エンジンの一種である Hiki に、深刻な脆弱性が
発見されました。結果として、遠隔から第三者が Hiki の CGI プログラムを
実行しているユーザ権限を取得する可能性があります。また、クロスサイトス
クリプティング脆弱性も存在します。この問題は、対策済みのパッケージに更
新する、もしくは Hiki 0.6.5 以降 (および CVS 版の 0.7-devel-20040627
以降) に更新することで解決します。

II. 対象

  この問題が存在する Hiki は、以下のバージョンです。

    Hiki: バージョン 0.6.4 以前の全てのバージョン

  なお、今回の脆弱性は Hiki 本体の問題であり、使用しているスタイルやプ
ラグインに関らず脆弱性が存在しますのでご注意ください。


III. 解決方法

  Hiki の開発チームでは、問題への対策を施したバージョンとして 0.6.5 を
公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正した
パッケージへの更新などを至急ご検討ください。詳細については、各ベンダや
配布元の提供する最新情報や関連文書をご参照ください。


IV. 詳細

  この注意喚起の発表から二週間後の 2004-07-12 に、以下の URI にて脆弱
性の詳細を公開する予定です。

  http://www.namaraii.com/hiki/advisory20040712.txt


[関連文書]

※ 随時更新されていますので最新版をご確認ください。

  Hiki Official Site
  http://www.namaraii.com/hiki/

  Lazy Diary (2004-06-28)
  http://www.namaraii.com/diary/?date=20040628

  ふぇみにん日記 (2004-06-28)
  http://kazuhiko.tdiary.net/20040628.html


[改定履歴]

2004/06/28 1.0 <http://www.namaraii.com/hiki/alert20040628.txt.1.0>
  最初の公開バージョン。
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFA3uRPeR9zZsEW+X4RAlzkAKCn76CdvroDU0emv3yFvY2xGbRBIgCeIy6u
DiVaUEVWlLxCk8cSQ0QZxjk=
=sB5n
-----END PGP SIGNATURE-----
============================== ここまで ==============================
-- 
かずひこ <http://wiki.fdiary.net/kazuhiko/>
  ★シャア「名字が付いてない」
  ☆一兵卒「あんなの飾りです。偉い人にはそれが分からんのです」
_______________________________________________
Hiki-dev mailing list
Hiki-****@lists*****
http://lists.sourceforge.jp/mailman/listinfo/hiki-dev

• 前の記事 [Hiki-dev:00538] 編集履歴にリンクを増やして欲しい
• 次の記事 [Hiki-dev:00540] mod_ruby 対応をマージしました
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]