News
■shiromuku(fs6)DIARY version2.40以前にクロスサイトスクリプティングの脆弱性が存在することが確認されましたので対策を施した新バージョンをリリースいたしました。
■概要
shiromuku(fs6)DIARYにはクロスサイトスクリプティングの脆弱性が存在します。
■影響を受けるバージョン
shiromuku(fs6)DIARY version2.40 およびそれ以前
■想定される影響
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
■対処方法
shiromuku(fs6)DIARYをご利用の方は、最新版 version2.41 にバージョンアップしていただきますよう、お願い申し上げます。フリーウェアダウンロードページより、最新版をダウンロードしてください。
http://www.t-okada.com/cgi/s_downloader1/■バージョンアップ方法
slibフォルダをフォルダごと最新版に差し替えて下さい。
■関連情報
JVN#31110006 shiromuku(fs6)DIARYにおけるクロスサイトスクリプティングの脆弱性
■謝辞
この脆弱性情報は、JPCERT/CC から当サイトにご報告をいただきました。
JPCERT/CCおよびIPAへ本脆弱性情報を報告頂いた方に御礼申し上げます。
・画像を縮小する際に、縦・横いずれか一方が指定値を超えた場合には縮小されるように致しました。
※最新バージョンは2.40です。
shiromuku(fs6)DIARY修正
・トップページの最新記事一覧にアイコンが表示されない不具合を修正致しました。
※最新バージョンは2.28です。
shiromuku(fs6)DIARY修正
・送信元アドレスに記入していないメールも日記に反映されてしまう不具合を修正致しました。
※最新バージョンは2.27です。
shiromukuBBS修正
・携帯メールからの投稿で、削除されたメールがタイトル・本文無しとして掲載されてしまう不具合を修正致しました。
※最新バージョンは2.53です。
・RSS表示の不具合を修正致しました。
※最新バージョンは2.25です。
shiromuku(fs6)DIARY修正
・メール添付で日記を記入した場合、本文に半角コンマが入ると記事が正常に表示されない不具合を修正致しました。
※最新バージョンは2.24です。
shiromukuBBSバージョンアップ
・メールアドレスを非表示に設定した際に表示されるメールフォームからスパムメールを送信されるのを防止するため、画像認証による投稿キー機能を使用する設定にしている場合、このメールフォームにも投稿キー機能を適用するように致しました。
※最新バージョンは2.44です。
※バージョンアップされる場合はslib/Scgiフォルダとtmpl/mail_form.html及びm_mail_form.htmlを差し換えて下さい。
・バージョンアップに伴う文字化けの不具合を修正致しました。
※最新バージョンは2.22/2.42です。
・バージョンアップに伴う不具合を修正致しました。
※最新バージョンは2.21/2.41です。
※shiromukuBBSはtop.htmlも差し替えて下さい。
・設定により承認されたコメントのみ表示できるようになりました。
・設定によりコメント投稿時に、画像認証式投稿キー機能を使用できるように致しました。
・携帯用表示画面をテンプレートでデザイン変更出来るように致しました。
・携帯メールから日記を投稿する際のメールを取り込む部分のプログラムを大幅に書き換えました。
※最新バージョンは2.20です。
※バージョンアップされる場合はsfs6_diary_gl.cgiも差し換え、改めて設定もやり直して下さい。
・設定により交換日記機能(複数ユーザによる書き込み)を使用できるように致しました。
・携帯から利用する際の不具合をいくつか修正いたしました。
※最新バージョンは2.10です。