- 81 名前:春山征吾 ◆9Ggg6xsM mailto:haruyama@unixuser.org [02/01/27 18:55.net]
- 0.11bをリリースしました。
0.11以前では
goRuaで処理できなさそうなURL文字列を外部コマンドを使って処理する機能にて、
その文字列をチェックしていなかったため
たとえば
...&ls
の処理でlsが実行されてしまう問題がありました。
空白が入った文字列はURLと認識されないため、この問題を利用して、
rm -rf / をすることはできません。
0.11aでは&をエスケープしたのですが、;,(,),<,>,|もエスケープすべきだと思われるので
0.11bではこれらもエスケープしました。
(アクセスログによれば0.11aを落した方はいないようですが)
