« レノボ、小型デスクトップPC | Main | 海外向けに「リネージュII」用不正プロキシ設置、中国人留学生を逮捕 »

›7 22, 2005

「tDiary」にクロスサイト・リクエスト・フォージェリの脆弱性

[ PCニュース ]

 クロスサイト・リクエスト・フォージェリという言葉を聞いたの二回目ですね。

 脆弱性の影響を受けるバージョンは、tDiaryの「2.0.1」以前と「2.1.1」。tDiaryではブラウザの「ベーシック認証」機能を利用してログインする。悪意のあるページではこの認証データを悪用してtDiaryにログイン。記事本文の改竄や削除、設定の変更などが行なわれる危険性がある。また、tDiaryが動作するWebサーバー上で任意のスクリプトやコマンドがtDiaryの実行権限にて実行される恐れもあるという。
 
 こうした指摘を受けてtDiary.orgでは、脆弱性を修正した最新版「2.0.2(安定版)」「2.1.2(開発版)」をリリースした。最新版で導入した対策では、1)日記の更新・設定の変更がPOSTメソッドで行なわれること、2)リファラーの値が正当であること、3)フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーが正しいこと――の3点をチェックするようにした。対策を実施するには、設定画面に追加された「CSRF(乗っ取り)対策」ページを使用する。
 
 ただし、上記の2)あるいは3)についてはユーザー側の対応も必要になる可能性がある。ユーザー側・Webサーバー側で特殊な設定をしている場合、日記の更新、設定の変更などができなくなる場合があるという。具体的には、1)ブラウザからリファラーを送出しない設定を行なっている場合、2)Webサーバーにリバースプロキシなどが導入された結果、ユーザーに見える「update.rb」のURLと、サーバーの認識するURLが一致しない場合、3)今回の対策に対応しないブラウザ以外のクライアントを使っている場合――といったケースだ。なお、こうしたケースに該当するユーザー向けにtDiary.orgでは、Webサイト上に解説を掲載している。

「tDiary」にクロスサイト・リクエスト・フォージェリの脆弱性


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?