=============================================================================
hns-SA-2006-01                                       HyperNikkiSystem Project
                                                         http://www.h14m.org/

トピック:	make-rurimap.cgi スパムメール送信幇助の脆弱性

告知日:		2006年2月28日(3月7日更新)
影響範囲:	修正日より前の全てのhns
修正日:		2006年2月28日


I.   背景 - Background

make-rurimap.cgi は日記読者からのメッセージを受け取るための cgi プログラムです．
受け取ったメッセージをメールにて日記作者のアドレスに送信する機能を持ちます．


II.  問題の詳細 - Problem Description

make-rurimap.cgi に脆弱性が存在し、この脆弱性を利用することで、スパムメールを
送信することが可能なことが判明しました．


III. 影響範囲 - Impact

悪意ある第三者が make-rurimap.cgi を利用してスパムメールを送信することが
可能となります．


IV.  回避方法 - Workaround

1. make-rurimap.cgi を削除する．
2. config.ph の中の
  $MesMail = 'hoge@example.jp';
  の行をコメントアウトする．


V.   解決策 - Solution

hns-2.19.8 にバージョンアップしてください．
(hns-2.19.7 にはこの脆弱性はありませんが、別のバグがあり
 make-rurimap.cgi が正常に動作しません)

hns-2.19.8 は， hns-current ブランチから抽出された，最新の hns です．
このバージョンは，安定性は高いものの，未だ「ベータ版」であることに注意して
ください．

hns-1 系列と hns-2.00 系列および hns-2.10 系列に関して， 
HyperNikkiSystem Project ではあらゆるメンテナンスを行っていません．
当該系列の hns を使用しているユーザーには，
速やかに hns-2.19(2.20) 系列に移行される事を強く望みます．


VI.  修正の詳細 - Correction details

次の表は今回修正されたファイルの $Id$ リビジョン番号です．


パス名                                              リビジョン番号
--------------------------------------------------------------------------
hns-perl/public_html/diary/make-rurimap.cgi.in      1.16     (hns-current)
--------------------------------------------------------------------------


VII. 参考資料 - References

特にありません．
=============================================================================