CVS更新 -- henoheno

colorプラグイン (XSS脆弱性あり・置き換え推奨)

colorプラグインにXSS脆弱性が存在していました。1.4rc3 - 1.4.4 までのユーザーには置き換えを強く推奨します。

概要: official:PukiWiki/Errata

  • 公表方針を検討し、内容を整理し、影響範囲をチェックし、修正版とその提供方法を検討し、1.4(古いバージョン)で検証し、advisoryをまとめました。
  • org, dev, お試しサイトのcolorプラグインはそれぞれ入れ替え済みです。

  • colorプラグインを焼き直し
    • cvs:plugin/color.inc.php (1.10-1.15)
    • usageの追加
    • 固定文字列を defineに退避
    • 正規表現の厳格化
    • cssではなくfontタグによるカラー表示を選択可能に(XHTML 1.1でfontタグは廃止されたため、XHTML 1.1 の時には無効: 現状は必ず無効になる)
    • XSS脆弱性の修正

  • 下から5行目辺りの"allowd"はallow"e"dじゃないかなと。…とりあえず報告まで。 -- Ratbeta? 2004-11-22 (月) 20:05:10
  • colorプラグインでの#16進数3桁での指定ができなくなってませんか? -- あれっ? 2004-11-22 (月) 22:52:39
  • むむ、確認します>両方とも -- henoheno 2004-11-22 (月) 23:01:23
  • ん?16進数3ケタ? それはvalidな書き方なんですか? 6ケタ限定にした人=> -- henoheno 2004-11-22 (月) 23:01:43
  • 少なくとも私には #fff という記述が R=f , G=f, B=f なのか R=ff, G=f, B=0? なのかあるいは(略)判別がつきません (^^; 知識が古いのかしら -- henoheno 2004-11-22 (月) 23:05:50
  • allowd の件、修正しました :) -- henoheno 2004-11-22 (月) 23:10:15
  • ふむふむ、3ケタについて確認中です -- やはり知識が古かったようですね (^^; 失礼しました (^^; -- henoheno 2004-11-22 (月) 23:13:01
これを   define('PLUGIN_COLOR_REGEX', '/^(#[0-9a-f]{6}|[a-z-]+)$/i');
こうする define('PLUGIN_COLOR_REGEX', '/^(#[0-9a-f]{3}|#[0-9a-f]{6}|[a-z-]+)$/i');
  • とりあえずこんなんでしょうか(厳格路線は維持の方向で) -- henoheno 2004-11-22 (月) 23:16:23
  • Firefoxなどで見るに、fontタグでも3桁指定は問題ないようですね。これは知識が古いんじゃなくて私が現状を知らなかっただけだな (^^; 勉強になりました・・・ -- henoheno 2004-11-22 (月) 23:42:15

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2004-11-22 (月) 23:42:15
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.202 sec.

OSDN