2015年1月25日(日) 21時20分39秒 [Web関連]

クロスサイトスクリプティング脆弱性の解消版を公開しています

当サイト内で配布しているフリーCGI「Fumy News Clipper2」のVer 2.4.0以下に、クロスサイトスクリプティングの脆弱性が発見されたとの報告を、JPCERT/CCから頂きました。
この脆弱性はVer 2.5.0で解決(解消)しています。
旧バージョンをお使いの場合は、最新版（現時点の最新版はVer 2.5.2）へのアップデートをお願い致します。

脆弱性を解消したVer 2.5.0、および最新版のVer 2.5.2のデータ形式は、それより古いどのバージョン(Ver 2.00～2.4.0)のデータ形式とも100％の互換性があります。
また、最新版には古いバージョンに存在するすべての機能があります。
したがって、古いバージョンを使い続ける必要性はありません。(古いバージョンのままで脆弱性の影響を回避する方法はありません。)

アップデートは、最新パッケージに含まれるhb.cgiファイルを、ウェブサーバ上でお使いのhb.cgiファイルと置き換えるだけで完了します。(CGIをカスタマイズしてお使いの場合は、サーバへアップロードする前にCGIソース内で設定を済ませて下さい。)

脆弱性情報に関して詳しくは、以下のページを、
クロスサイトスクリプティング脆弱性について - Fumy News Clipper2
最新版の入手やアップデート方法については、以下の配布ページを
ニュースクリップCGI - Fumy News Clipper2
ご参照下さい。

JPCERT/CC側での情報公開は1月30日の予定です。
開発者サイト上での公表はそれよりも前でも構わないとのことでしたので、先に公表しました。