Hiki -Front Page-  Index  Search  Changes  Login

Hiki Alert 2004-06-28

 English version may be found at http://hikiwiki.org/en/alert20040628.html.

Hiki の脆弱性に関する注意喚起

Hiki Development Team

2004-06-28

I. 概要

 Ruby で実装された Wiki エンジンの一種である Hiki に、深刻な脆弱性が発見されました。結果として、遠隔から第三者が Hiki の CGI プログラムを実行しているユーザ権限を取得する可能性があります。また、クロスサイトスクリプティング脆弱性も存在します。この問題は、対策済みのパッケージに更新する、もしくは Hiki 0.6.5 以降 (および CVS 版の 0.7-devel-20040627 以降) に更新することで解決します。

II. 対象

 この問題が存在する Hiki は、以下のバージョンです。

  • Hiki: バージョン 0.6.4 以前の全てのバージョン (リリース版)
  • Hiki: バージョン 0.7-devel-20040618 以前の全てのバージョン (CVS 版)

 なお、今回の脆弱性は Hiki 本体の問題であり、使用しているスタイルやプラグインに関らず脆弱性が存在しますのでご注意ください。

III. 解決方法

 Hiki の開発チームでは、問題への対策を施したバージョンとして 0.6.5 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などを至急ご検討ください。詳細については、各ベンダや配布元の提供する最新情報や関連文書をご参照ください。

IV. 詳細

 この注意喚起の発表から二週間後の 2004-07-12 に、以下の URI にて脆弱 性の詳細を公開する予定です。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

[改定履歴]

2004/06/28 1.0 <http
//www.namaraii.com/hiki/alert20040628.txt.1.0>:最初の公開バージョン。
2004/06/29 1.1 <http
//www.namaraii.com/hiki/alert20040628.txt.1.1>:対象に CVS 版を追加。
2005/07/05 1.2 <http
//hikiwiki.org/ja/alert20040628.html>:URI の変更
Last modified:2005/07/05 14:51:08
Keyword(s):
References:
This page is frozen.