FrontPage  Index  Search  Changes  Login

Ticket-74

Ruby1.8.5でのrss_showのSecurityError

Priority
Normal
Reporter
えび
Status
Closed
Assigned to
?
Version
0.8.6
Milestone
?
Created
2006-12-27

Description

はじめまして。 自サイトにてエラーが出ているので、ご報告いたします。

Rubyを1.8.5にUpdateしたところ、rss_showにて以下のエラーが出るようになりました。

{ {rss_show('<URL>'} }SecurityError (Insecure: can't intern tainted string): inline plugin

tdiary関連のプラグインでも似たような問題が発生しており、rss_showプラグインにて対応が必要なのではないかと考えております。

以上、よろしくお願いいたします。


Changelog

yachimon (2007-02-16 (金) 15:01:50)

通りすがりの初心者ですが… rss-show.rb を以下のように変更することで対処できました。

def rss_show(url, cache_time = 1800, number = 10)
  if rss = rss_get(url.untaint, cache_time)
    #items = RSS::Parser.parse(rss, false).items
    items = RSS::Parser.parse(rss.untaint, false).items
    rss_format_items(items[0...number])
  else
    ''
  end
end

参考) http://www.tdiary.org/ml/devel.rb?key=/mailarchive/forum.php%3Fthread_id%3D30949778%26forum_id%3D8349

kskeil (2007-08-10 (金) 12:47:36)

ruby1.8.5でのuntaintの問題は、referer.rbでも発生してるっぽいです。

db = PTStore::new(file_name)

db = PTStore::new(file_name.untaint)

に変更する必要がありました。

fywtgxizdb (2007-10-06 (Sat) 05:21:49)

Hello! Good Site! Thanks you! syzgyggrxd

Name:
Comment:
Change Properties
Priority:
Status:
Version:
Milestone:
Assigned to:

Last modified:2007/10/06 05:21:50
Keyword(s):
References: