FSWiki 3.6.2(3.6.3 dev3以前の開発版含む)向けのセキュリティパッチを公開しました。以下のURLからダウンロード可能です。
FSWikiで使用しているCGI::SessionはCGISESSIDというCookieにセッションIDを格納し、セッションIDをファイル名としてサーバ上にセッション情報を保持します。このときセッションIDに相対パスが含まれていると、CGIスクリプトのパーミッション設定が不適切な場合、セッション情報ファイルがサーバ上の任意の場所に生成される可能性があります。今回のパッチを適用することでセッションIDにアルファベットと数字以外は許容しないようになります。この問題はCGI::Session 4.34で修正されているため、将来的にはCGI::Sessionを最新版にバージョンアップする予定です。
最終更新時間:2009年10月26日 16時07分05秒