Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002
Drupalに深刻なセキュリティホールが見つかってから約1ヶ月。被害が出る前にセキュリティホールを発見したのは立派だし、対応も妥当だったと思う。しかし、手を抜いて対応しなかったサイトは深刻な被害を受ける。私は、問題があったことを隠さなかった姿勢を高く評価するが、異論もあるだろう。
大抵のCMSであれば、簡単にRSSフィードを出す事ができる。
もちろん、DrupalでもRSSはデフォルトで出せる。しかし、かつて関わっていたkizasiのBlogramにブログを登録したら、なぜかブログの指し先がフロントページにならなかった。
気がついたら、ブログのURLがrss.xmlを指してしまっていた。
ブログのURLは本来https://takayuki.hagihara.tokyoで良いはずなのだが、ブログのURLにrss.xmlが入ってしまい、リンクを踏むとrssデータが表示されてしまう。人間が読むものではない。