tDiary、脆弱性に対応した安定版2.0.2リリース

ブログ型日記ツール「tDiary」のバージョン2.0.2（安定版）、2.1.2（開発版）が20日に公開された。

[ITmedia]

　ブログ型日記ツール「tDiary」は7月20日、主に脆弱性対策を目的としたバージョン2.0.2（安定版）と2.1.2（開発版）をリリースした。

　脆弱性の問題が存在するのは安定版の2.0.1およびそれ以前のバージョン、開発版の2.1.1とアナウンスされており、対象となるバージョンを利用しているユーザーへは最新版へのバージョンアップを強く推奨している。

　今回発覚した脆弱性とは、クロスサイトリクエストフォージェリ（CSRF）の問題。

　この問題により想定される影響として、悪意のある第三者が、特殊なURLや外部Webページを生成することで、日記の改変や削除、設定の変更などの操作を、ログイン中のユーザーに不正に行わせることができる可能性があるという。さらに、tDiaryが動作するWebサーバ上で、任意のスクリプトやコマンドがtDiaryの実行権限にて実行される可能性があるとのこと。

　今回リリースされたバージョンでは、日記の更新および設定の変更時にいくつかのガードを設けることで、対策を施している。

　そのガードは、HTTPのPOSTメソッドが使われていること、Refererが正当なURLであること、フォームに埋め込まれた（攻撃者が知りえない）CSRF防止キーの3点をチェックすることで対処される。

　なお、通常の利用では標準的な設定のままでもユーザーが意識することなく利用できるように設計されているが、ユーザー、そしてWebサーバ側で特殊な設定をしている場合には、日記の更新や設定変更などができなくなる可能性があるので注意が必要。詳細に関しては、「tDiary 2.0.2、2.1.2リリース」を参照のこと。