Naoki Takezoe
takez****@gmail*****
2005年 12月 8日 (木) 10:00:15 JST
竹添です。 05/12/07 に あき<attin****@kk*****> さんは書きました: > あきです。 > > > 竹添です。 > > > > FreeStyle Wiki 3.5.10をリリースしました。 > > > > - Farm作成時のテンプレート機能(templateというWikiを作成しておくと、 > > Farmで新規Wikiを作成した場合にそこからページをコピーして作成します)。 > > - ページ頭および前後パートへのリンクを表示できるようにした(管理画面 > > からON/OFF可能)。 > > - 新規作成ページに付与される参照権限を管理画面から設定できるようにした。 > > - mod_perlでの動作時に異常系でもメモリリークしないようにした。 > > - Wiki#exit()メソッドを削除しUtil::_exit関数でオーバーライドするように > > した(プラグインからは普通にexit関数を呼んでOKです)。 > > - 外部リンクを別ウィンドウで開く設定にしてある場合、スキームが指定され > > ていないURLを同じウィンドウで開けるようにした。 > > 結局取り込んで頂いたのですね。 > ありがとうございます。 はい、設定画面の文言は変えましたが「取り込む」と宣言していましたので。 > > - シングルブラケットによる任意のURLへのリンク処理に脆弱性があったため > > 対処。 > > これの詳細が気になります。 > 公にすることが危険に繋がるようであれば説明は不用ですが、もし問題が無い > ようであれば、もう少し情報を頂けませんでしょうか? シングルブラケットでリンクを行う場合、 [文字列|URL] という形式になりますが、URL部分にはどんな文字列を入力してもリンクになる ようになっています。簡単に言うとここにJavaScript等を入れることができてしまう、 という問題です。 今回はURL部分がインジェクトしていると思われるようなパターンの場合はリンクを 出力せず、エラーメッセージを出力するように修正を行っています。 なお、FSWikiLiteについてはパーサの実装が少し違っていて、現行のバージョンでは この問題は発生しません。ただ、パーサの挙動がFSWikiとLiteで異なるのも気になる ので、CVS上ではFSWikiLiteのパーサも3.5.10と同期を取っておきました。 -- Naoki Takezoe <takez****@gmail*****>