(2012.10.08) amazon 書影/リンクプラグイン 0.9 を公開しました
amazon.co.jp へアクセスする際に経由するプロクシーCGIのデフォルトを 「forgot.uh-oh.jp/amazon_proxy.cgi」から 「wifky.sourceforge.jp/cgi-bin/amazon_proxy.cgi」へ変更しました。
なお、デフォルトが変わるだけですので、明示的に設定 ProxyServer の内容を wifky.sourceforge.jp/cgi-bin/amazon_proxy.cgi に変えれば、バージョンアップする必要はありません。
また、既存の書影については影響しませんので、 改めて書影を貼り直す必要などはありません。
変更の理由ですが、単に開発者のサーバ移転で、 forgot.uh-oh.jp がそのうち使えなくなる可能性があるためです。 個人的な理由で申しわけありません。
(2012.10.08) wifky 1.5.11_2 を公開しました
ダウンロード
-
http://sourceforge.jp/projects/wifky/releases/57043 - https://github.com/hymkor/wifky/releases/tag/1.5.11_2
(2012.10.31) wifky 1.5.11_3 を公開しました 【脆弱性対応】
変更内容
脆弱性対応
cookie で管理者モードを管理している wifky 1.3〜1.5.11_2 にはCSRF脆弱性があることが分かりました。具体的には、wifkyページの管理者がログインしたまま、第三者が設置した「罠ページ」を踏んでしまうと
- 凍結されたページの本文の変更
- 禁止された状態でのページの新規作成
- 凍結されたページの添付ファイルアップロード
- 設定変更(ただし、パスワード変更を除く)
- ページ本文の凍結/解除
- タグの設定/削除
- ページ名・添付ファイル名のリネーム
- ページ内容のロールバック
- 添付ファイルの凍結/凍結解除/ページ間移動
をさせられてしまう恐れがあります。なお、罠ページ一つではそのページに記入された1オペレーションが可能になるだけで、それ以上のことをするには更なる罠ページを踏むことが必要となります。それゆえ、第三者に完全にのっとられるというわけではありません。
本リリースでは、管理者の入力フォーム中に管理者ログインセッション毎にランダムに発行するトークンを埋め込み、フォーム情報受信時に現在のセッションのトークンと同一かを照合することにより、上脆弱性に対処いたしました。このトークンは、管理者モード以外では外部に発信することはないため、これにより罠ページからのフォームデータ送信をはじくことが出来ると考えております。
なお、本体だけでなく、各プラグインについてもCSRF脆弱性の存在がありえますが、 それぞれ順次対応してゆく予定です。
ダウンロード
-
http://sourceforge.jp/projects/wifky/releases/57247 - Release 1.5.11_3 · hymkor/wifky