« スパムサイト作成講座7 - 動的 URL を静的 URL に変換する - mod_rewrite | メイン | スパムサイト作成講座【Tips】 - 検索結果に「キャッシュ」を表示させない »
2007年01月18日
【重要】フレッシュリーダーの脆弱性および対応版の公開について
フレッシュリーダーに「任意の JavaScriptが実行される脆弱性」が発見されたため、2007年1月18日に「フレッシュリーダー 1.0」をメンテナンスリリースしました。
バージョンは1.0.07010600 となります。
ご利用の皆様にはお手数をお掛けすることになり大変申し訳ございません。
できるだけ速やかに新バージョンへの更新をお願い致します。
脆弱性について詳しくは [20070118] フレッシュリーダーの脆弱性とセキュリティ対応版の公開について をご参照ください。
本件に関する正式な告知は 【重要】フレッシュリーダーの脆弱性および対応版の公開についてのお知らせ - サイドフィード株式会社 となります。
本脆弱性は、フィード(RSS/Atom)の記述の中にスクリプトを埋め込むことでそれらを実行されてしまうというものです。
信頼できるフィードのみを登録している場合でも、放置ブログなどの登録解除・ドメイン失効⇒悪意あるユーザーによる再利用、などさまざまな可能性が考えられますので、ご迷惑をお掛けして申し訳ございませんが、フレッシュリーダーをお使いの方は新しいバージョンへの更新作業をお願い致します。
※今回の改修はセキュリティ対応のみとなっていますので、機能変更などは一切ございません。
なお、本ブログの性質上、具体的な改修内容や再現方法などを公開すべきとは考えておりますが、RSSリーダーに存在する悪用の危険性 で書かせていただきましたとおり、他のフィードリーダーなどへの影響に配慮し、当面は改修内容の具体的な開示は控えさせていただきたいと思います。
また、上記のようなエントリを記載しておきながらこのような告知を出すに至ったことに対してはベンダーとしての甘さを痛感しております。
引き続き技術力ならびに品質向上に力をいれていきたいと考えております。
これからも何卒よろしくお願い致します。
※本件につきましては、下記よりお問い合わせいただけますようお願い致します。
なお、本脆弱性は JPCERT/CC 様からのご連絡により対応することができました(JVN#95249468)。
JPCERT/CC 様の適切な対応と、脆弱性を JPCERT/CC さまに報告いただいた方にこの場を借りて御礼申し上げます。
※今回の改修には JPCERT/CC 様からご連絡頂いたもの以外のセキュリティ対応も含まれています。
投稿者 aka : 2007年01月18日 10:00 / 2007年01月 / お知らせ
トラックバック
このエントリーのトラックバックURL:
http://133.242.136.64/mt-tb-sf.cgi/558
コメント
erupiと申します。
昨日から直接FTPインストールでのバージョンアップを数回試しているのですが、インストール完了の通知が来るにも関わらず、バージョン番号が1.0.06042601のままで1.0.07010600になりません。
何か考えられる原因がございましたら、教えて頂きたく存じます。宜しくお願い致します。
投稿者 erupi : 日時 2007年01月19日 10:27
erupi さま
お返事が遅くなり大変申し訳ございません!
#今迷惑コメントの山から堀出しました・・本当にすいません。。。
FTP インストールで通知が来る場合、FTP 処理自体ではエラーが一切でていないことになります。
バージョンアップの場合は「上書きします」というメッセージが表示されますので、そちらの表示はございましたでしょうか?
表示がない場合、他のディレクトリにインストールされているなどの可能性がございますのでご確認ください。
現時点でもしまだ問題が解決していない場合は、手動FTPをお試しいただくか、サポートフォームより、再度ご連絡いただけますと幸いです。
何卒よろしくお願い致します。
投稿者 aka : 日時 2007年01月31日 11:41