にーやんのブログ

JVN#03300113: Blosxom におけるクロスサイトスクリプティングの脆弱性 より。

Blosxom 2.1.1 およびそれ以前には、「クロスサイトスクリプティングの脆弱性が存在」するため、「ユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があ」る、とのことです。

このブログでは blosxom starter kit を利用していますが、バージョンは 2.0 になり、上記の脆弱性があてはまるものと思われます。

SourceForge.net: Files から、この問題を修正したバージョン 2.1.2 が入手できますが、blosxom starter kit では config.cgi を使って設定を行っていたりするので、そのまま blosxom.cgi を差し替えればいいというわけには行きません。

Blosxom 2.1.2 fixes a cross-site scripting (XSS) issue を読むと、以下のような文言があります:

Blosxom 2.1.2 fixes a cross-site scripting (XSS) issue

If you can't upgrade your installation, the recommended workaround is to remove all occurrences of "$flavour" in the "error head" template near the end of blosxom.cgi.

（簡易試訳: もしアップグレードできないなら、おすすめの回避策は、blosxom.cgi の終わり近くにある「error head」テンプレートの「$flavour」をすべて削除することです。）

というわけで、とりあえず blosxom.cgi の「error head」テンプレートを修正しておきました。あとで、2.1.2 へのアップデートについても検討したいと思います。

2009-04-08 23:53 追記

KANGAROO-OASIS :: blosxom version up で blosxom 2.1.2 を blosxom starter kit で利用できるように修正する方法が公開されています。これなら簡単にバージョンアップできますね。

コメント欄で教えていただいた color99 さんに感謝します。

2009-04-09 0:03 追記

color99 さんに教えていただいた方法で、blosxom 2.1.2 にバージョンアップしました。

1. blosxom のサイト内検索を msearch に変更
2. dynamic_cache の入手先変更
3. 遅まきながら Google サイトマップに登録してみた。
4. blosxom 用 mailpost プラグインを導入
5. awsxomプラグインを9月24日版に差し替え＋少しいじってみたり

• [Preview]ボタンをクリックすると、コメント内容をプレビューすることができます（JavaScript使用）。
• スパム対策としてリファラチェックを行っています。セキュリティソフトの設定でリファラを無効にしていると投稿できません。
• エントリの内容と無関係と思われるコメントやトラックバックは削除されます。
• 当ブログへの言及リンクがないトラックバックはブロックされます。