Apr 08, 2009
blosxom version up
にーやんのブログ :: Blosxom 2.1.1 以前にクロスサイトスクリプティングの脆弱性
にて「クロスサイトスクリプティングの脆弱性が存在」する事を知りました。
Blosxom Starter Kitを使っている場合、そのままblosxom.cgiを差し替える事が出来ませんが、実は修正パッチは簡単です。
1.追加分
package blosxom;
の後に次の2行を追加
eval { require './config.cgi'; }; # added
die "Failed to load configuration file.\n$@" if $@; # added
2.削除分
Configurable variablesは全て削除
# --- Configurable variables -----
# この部分を全て削除
# --------------------------------
Blosxom Starter Kitを使っている方はパッチをあててみて下さい。
(4/16追記)
説明不足だったみたいなので、追記します。
パッチを当てるblosxom.cgiは、今使っている物ではなく、4/15のエントリに書いた場所からダウンロードしたBlosxom 2.1.2のblosxom.cgiです。
トラックバックURLはスパム対策の為に非表示。
「表示」ボタンをクリック後投稿下さい。
*)当サイトではTBスパム対策により以下の条件ではTBを送れませんのでご注意下さい。
・1日以上前に開いたページのTBアドレスを使うとスパムとして弾きます。
・MovableTypeのクイックポストではTBを送れません。
writeback message: Ready to post a comment.
投稿フォームはスパム対策の為に非表示。
「表示」ボタンをクリック後投稿下さい。
- ajax_spam_suppressor - powered by prototype.js
リアルタイムコメントプレビュー
JavaScript有効時、このエリアにリアルタイムでプレビューされます。
