日記/2009/07/18/YakiBiki 0.9.1 リリース

YakiBiki 0.9.1 をリリースします。
SourceForge.netのプロジェクトサイトよりダウンロード可能です。

http://sourceforge.net/projects/yakibiki

TODO/YakiBiki/0.9.1 でフリーズしていますが、今回は脆弱性対応を中心に修正しております。その影響で、幾つか大きな仕様変更を入れました。

• テキストタイプのデータで、以前は"平文", "HTMLべた書き", "Wiki書式"のフォーマットを選択できるようにしていましたが、"Wiki書式"のみにしました。以前に"plain"や"HTML"で作成したものは、Wiki書式として強制的に表示されます。
• Wikiプラグインで"html", "javascript"プラグインを削除しました。

某方面よりYakiBikiの脆弱性を知らされまして、XSSとCSRFを中心に対処してきました。
CSRFを実行可能な悪意のあるURLページを踏む事で、XSSの埋め込まれたページを生成し、セッションIDを盗む事が可能になっていたセキュリティホールにも対処しておりますので、必ずアップグレードをお願い致します。

もしまだ漏れがありましたら、お手数おかけしますが sakamoto-gsyc-3s@glamenv-septzen.net まで御連絡お願い致します。

また某方面には脆弱性の内容など含めましてお世話になりました。ありがとうございました。

6月からほぼ一ヶ月間に渡り、本サイトへ訪れた皆様ならびにYakiBiki利用者にはご迷惑をおかけしました。今後ともよろしくお願い申し上げます。