FrontPage  Index  Search  Changes  Login

Hiki Issue Tracking System - Ticket-74 Diff

  • Added parts are displayed like this.
  • Deleted parts are displayed like this.

! Ruby1.8.5でのrss_showのSecurityError

:Priority:Normal
:Reporter:えび
:Status:New:Status:Closed
:Assigned to:?
:Version:0.8.6
:Milestone:?
:Created:2006-12-27

!! Description

はじめまして。
自サイトにてエラーが出ているので、ご報告いたします。

Rubyを1.8.5にUpdateしたところ、rss_showにて以下のエラーが出るようになりました。

{ {rss_show('<URL>'} }SecurityError (Insecure: can't intern tainted string): inline plugin

tdiary関連のプラグインでも似たような問題が発生しており、rss_showプラグインにて対応が必要なのではないかと考えております。


以上、よろしくお願いいたします。

----
!! Changelog
!!!yachimon (2007-02-16 (金) 15:01:50)
通りすがりの初心者ですが…
rss-show.rb を以下のように変更することで対処できました。
<<<
def rss_show(url, cache_time = 1800, number = 10)
  if rss = rss_get(url.untaint, cache_time)
    #items = RSS::Parser.parse(rss, false).items
    items = RSS::Parser.parse(rss.untaint, false).items
    rss_format_items(items[0...number])
  else
    ''
  end
end
>>>

参考)
http://www.tdiary.org/ml/devel.rb?key=/mailarchive/forum.php%3Fthread_id%3D30949778%26forum_id%3D8349
!!!kskeil (2007-08-10 (金) 12:47:36)
ruby1.8.5でのuntaintの問題は、referer.rbでも発生してるっぽいです。
db = PTStore::new(file_name)

db = PTStore::new(file_name.untaint)
に変更する必要がありました。
!!!fywtgxizdb (2007-10-06 (Sat) 05:21:49)
Hello! Good Site! Thanks you! syzgyggrxd

{{its_edit_ticket_form}}