Hiki 0.8.7
投稿日: 2007年07月01日(日) | カテゴリ: 更新情報
かわちょうぃきで使ってる Hiki に脆弱性が見つかって、それを改修したバージョン 0.8.7 が出ていたのでアップデート。
Hiki では、セッション ID をファイル名とするファイルを作成し、セッション管理を行なっています。このセッションファイルは、ログアウト時にセッション ID をファイル名として、削除されています。
このとき、セッション ID が 正規表現 /[0-9a-f]{16}/ にマッチすることによってセッション ID フォーマットの確認を行なっていましたが、この正規表現はセッション ID フォーマットの確認としては不適切であったため、パス区切り文字を含むようなセッション ID を指定することが可能になっていました。
このようなパス区切り文字を含むセッション ID を送信することによって、 Hiki 実行権限が削除可能な任意のファイルを削除できる可能性があります。
Wiki Way―コラボレーションツールWiki
posted with amazlet on 06.07.05
ボウ ルーフ ウォード カニンガム Bo Leuf Ward Cunningham yomoyomo
ソフトバンククリエイティブ (2002/09)
売り上げランキング: 25,800
ソフトバンククリエイティブ (2002/09)
売り上げランキング: 25,800
おすすめ度の平均: 
少々古くなったけど・・・ そろそろWikiを使ってもいいんじゃないか?
入門Wiki―みんなで投稿/編集できるWebの作りかた
posted with amazlet on 07.07.01
竹添 直樹
毎日コミュニケーションズ (2006/07)
売り上げランキング: 5917
毎日コミュニケーションズ (2006/07)
売り上げランキング: 5917
おすすめ度の平均: 
入門Wiki
