1. pyblosxom の脆弱性

    2009-09-09

    脆弱性報告が下記に一つ出ています。

    http://www.juniper.net/security/auto/vulnerabilities/vuln33676.html

    pyblosxom の作りは、(昔風で)文字列として HTML を構成する感じで、入力の sanitize にも問題があろうことは想像に固くない。

    下記のような利用の制限を加えて pyblosxom を使うことにした。

    • HTTP の method は GET だけで使う
    • QUERY_STRING はない形だけ使う(あったらエラー)
    • 拡張子で flavour の指定もできない形で使う

    file based の blog system を作り直した方がいいかしらん。

    read more

« Page 2 / 2