メインコンテンツ| サイトメニュー | 検索・その他情報


メインコンテンツ

2006年9月26日

Movable Type に脆弱性 - バージョン3.33発表

シックスアパート社は、ブログツールMovable Typeにおいて「クロスサイトスクリプティング」という脆弱性がみつかり、対策を施したバージョン(3.33)及び3.2用のパッチを26日から配布しています。
シックスアパートのページ

今回は以前のバージョン(Movable Type 3.2)においても脆弱性が発見されており、Movable Type 3.2用のパッチも公開されています。
現在配布されているパッチのバージョンは、 3.33-ja 及び3.21-ja、企業用のEnterprise 1.03です。

今回見つかった脆弱性は「クロスサイトスクリプティング」というらしいです。
シックスアパートのページには「クロスサイトスクリプティング」の説明がなかったので、IT用語辞典から引用します。


クロスサイトスクリプティング 【XSS】

 ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。

 悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。

 このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。

 悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、「クロスサイト」の名がついている。

 スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。

 対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。

つまり、自分のブログが悪事に利用されてしまう可能性があったわけですね。
最悪「共犯」になってしまう…ああ恐ろしい。
さらに詳しい説明はセキュア・プログラミング講座さんに掲載されています。

このブログは先ほど「3.33」にアップデートしました。

「Movable Type バージョン3.32(Movable Type Enterprise 1.02)と、バージョン3.33(Movable Type Enterprise 1.03)は、以下の9ファイルの変更を除いて同一」ということで、「lib」「php」「plugins」フォルダのみ上書きし、再構築しました。

MT_DIR(カッコ内はファイルのリビジョン番号)
├─lib
│  MT.pm (584)
│  └─MT
│      │  App.pm (689)
│      │  Log.pm (696)
│      │  Sanitize.pm (691)
│      └─App
│              CMS.pm (690)
│              Search.pm (684)
├─php
│  mt.php (N/A)
│  └─lib
│          sanitize_lib.php (N/A)
└─plugins
    └─nofollow
            nofollow.pl (684)

更新されるファイル数も少なかったので、今回は比較的楽にアップデートできました。
それにしても、月に一回はアップデートしてるなぁ。

web拍手

TrackBacks[0]

スパムフィルタ機能によって迷惑トラックバックかどうか判断しています。
迷惑トラックバックと判断された場合、トラックバックを送られてもすぐには表示されませんが、管理人の判断で後日表示させます。

Comments

Post a comment

管理人へのメールはこちらからどうぞ

コメントする


Copyright © 2005 - 2019 白露.

管理者MENU : EDIT / SendTB