msmcINFO

Webベースでの日記を書いている人で、支持している人が多いらしい tDiary についての脆弱性が公表されました。

tDiary.orgは12月10日，Rubyベースのブログシステム「tDiary」の脆弱性を公表した。セキュアモードで運用されていない場合，Webサーバー上で任意のコマンドを実行される恐れがある。対策は，バージョン・アップまたはパッチの適用を行うこと。

Rubyベースのブログ・システム「tDiary」に脆弱性 （ITpro)

tDiary.org によれば、

想定される影響

悪意ある第三者が特殊なURLや外部ウェブページを生成することで、Webサーバ上にて任意のコマンドを実行される可能性もあります。ただし、セキュアモードで運用されている場合にはこの攻撃は成功しません。

なお、脆弱性があるのは日記管理者のみがアクセスできる設定画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。

との事です。対策が実施されたバージョンやパッチが用意されています。該当するシステムを利用しているなら、対策をするべきでしょう。

関連記事：　tDiaryの脆弱性に関する報告(2006-12-10)