![[hnsドキュメント]](hns-logo.png)
ハイパー日記システム Version 2.10
既知のバグ
最新のバグの状況につきましては、 バグ報告システム
をご覧下さい。
-
webif direct モード・セキュリティ・バグ
- webif.cgi を direct モードで動作させている場合、任意の攻撃者が
日記を書き換える事ができます。
バグです。hns-2.10-pl2 で修正されました。
(2002/2/11)
-
クロス・サイト・スクリプティング(CSS)
脆弱性
- log.cgi および title.cgi
にクロス・サイト・スクリプティング(CSS) 脆弱性
が存在しています。悪意のある、リモート・ユーザが日記管理者や読者の
RURIコード(クッキー)を盗むことができます。
バグです。hns-2.10-pl2 で修正されました。
(2002/2/11)
-
make-rurimap.cgi security bug
-
メッセージをメール送信する設定にしている場合(デフォルトは
メール送信しないようになっています)、リモート・ユーザが
httpd の実効権限で任意のコマンドを実行できます。
バグです。hns-2.10-beta10 で修正されました。
(2000/10/15)
-
title.cgi continuous GRP bug
- 連続した GRP
したセクションがあるとそれ以降のセクションの
タイトル一覧での表示がおかしくなる。
バグです。hns-2.10-beta8 で修正されました。
(2000/7/16)
-
rotate_log.cgi remove log bug
-
管理ツールからログをカットすると、ログが消えてしまう場合がある。
古いログを保管する OLDディレクトリに httpd
が書き込めない場合、
そうなります。バグです。hns-2.10-beta6
で修正されました。
(2000/6/11)
- png height
bug
-
pngファイルの画像のサイズを取得できない場合がある。
バグです。hns-2.10-beta5 で修正されました。
(2000/4/1)
- Namazu v2
GRP bug
- Namazu v2 なのに GRP
したセクションが検索結果の 要約に表示される。
バグです。Namazu-2.0.1
以降で修正されています。
(2000/3/1)
- di.cgi
Perl path bug
- di.cgi の Perl の path が /usr/bin/perl
に固定されている。
バグです。hns-2.10-beta5 で修正されました。
(2000/4/1)
- Namazu CGI
Security bug
- Namazu for 1.1.5
以前のバージョンにセキュリティー・ホールがある。
Namazu for 1.1.6 で修正されています。
(2000/1/28)
-
New Year Recent Display bug
- 年を越えて日記を書くと、最近の日記へアクセスすると
設定した日数分よりも少ない日数しか
日記が表示されない。
バグです.hns-2.10-beta2 で修正されました。
(2000/1/8)
- RURI
code 14-digit bug
- RURIコードは RURI を除いて
13桁の仕様であるが、14桁の RURIコード
が発行される場合がある。
バグです.hns-2.10-beta2 で修正されました。
(2000/1/8)
- is_robot
bug
- 本来 BATTA
と判定されるべき CERN-HTTPD経由などが BATTA
と判定されず,302
Moved Temporarily bug が再発している.
BATTA判定にバグがありました.hns-2.00-pl1
で修正しました.
(1999/7/8)
-
302 Moved Temporarily bug
-
hns-1.03以降では,クッキーの発行数を抑制するために,URL
に ~ が含まれる場合,日記のURL を
http://www.foo.bar.jp/~hoge/diary/ に決めています.
もし,http://www.foo.bar.jp/%7Ehoge/diary/
でアクセスされた場合は,
http://www.foo.bar.jp/~hoge/diary/ へ転送します.
一部のプロキシやプリフェッチャなどは,/~hoge/
という URL を 自動的に /%7Ehoge/
に変換して,サーバに送るものがあります.
このような場合,/%7Ehoge/ にリクエストが来ると
/~hoge/ に hns は転送しますが,/~hoge/
がプロキシ等によりまた /%7Ehoge/ に
変換されるため,リクエストのループが起こります.
通常このようなループが起こると,正しい実装のソフトは処理を中断します.
このような場合,結果として hns
での日記を閲覧することが不可能になります.
- CERN Proxy Server
- Wget
- WWWOFFLE
などで,この現象が起こることが,確認されています.
仕様でしたが問題が多いため変更されています。
- hns-1.03-pl1 からは conf/robotlist.txt
に記載された エージェントに対しては,
/%7Ehoge/
のようなリクエストを転送しないようになりました.
問題があるものは,robotlist.txt
に記載することで,日記を読めないという
ことはなくなりました. ただし,robotlist.txt
に記載された エージェント に
対してはクッキーが送られませんので,クッキーによるユーザの追跡は
できません.
- hns-2.00-pl0 では robotlist.txt
に記載された エージェントの
判定にバグがあり,日記が読めなくなっていました. is_robot bug
を参照願います.
(1999/7/8)
- hns-2.10-beta2 からは、この転送を 設定で
off にできるようになりました。この転送を off
にした場合は、 /~hoge/
へアクセスしたブラウザと /%7Ehoge/
へアクセスしたブラウザは 別の読者として別の
RURIコードが発行されることになります。
(2000/2/5)
- hns-2.10-beta8 以降は、デフォルトでこの転送は
off に 設定されました。
(2000/7/16)
ハイパー日記システム Version 2.10
Index