02/01/27 18:55.net
0.11bをリリースしました。
0.11以前では
goRuaで処理できなさそうなURL文字列を外部コマンドを使って処理する機能にて、
その文字列をチェックしていなかったため
たとえば
URLリンク(...&ls)
の処理でlsが実行されてしまう問題がありました。
空白が入った文字列はURLと認識されないため、この問題を利用して、
rm -rf / をすることはできません。
0.11aでは&をエスケープしたのですが、;,(,),<,>,|もエスケープすべきだと思われるので
0.11bではこれらもエスケープしました。
(アクセスログによれば0.11aを落した方はいないようですが)