【重要】管理画面認証の脆弱性とその対策(本家版Evolution全バージョン及び日本語版1.0.6J-r1以前)

日本公式からのお知らせ
アバター
yama
管理人
記事: 2910
登録日時: 2009年7月29日(水) 02:50

【重要】管理画面認証の脆弱性とその対策(本家版Evolution全バージョン及び日本語版1.0.6J-r1以前)

投稿記事by yama » 2012年11月27日(火) 17:42

MODX Evolution 1.0.6 (and prior) Unauthorized Manager Access

http://forums.modx.com/thread/80701/
本家開発チームより、MODX Evolutionの脆弱性についてアナウンスがありました。対策も同時に提示されていますので、取り急ぎ当フォーラムで告知いたします。
高い危険度を持つ脆弱性としてアナウンスされており、条件が該当する場合は早急な対応を行なうことをおすすめします。

2012年5月24日リリースの日本語版 MODX Evolution 1.0.6J-r2以降(r2含む)ではこの件について問題ありません。

●概要
MODX Evolutionパッケージに同梱されているForgot Manager Loginプラグインは、認証なしの管理画面アクセスを可能とする脆弱性があります。

●対象バージョン
日本語版 MODX Evolution 1.0.6J-r1以前の全バージョン(1.0.6J-r1含む)
本家版 MODx 0.9.0 から Evolution 1.0.6(最新版)までの全バージョン
ただしどちらも、プラグインのアップデートを行なっていない場合は、MODX本体のバージョンに関係なく全て対象となります。

※正確な情報
本件は、正確にはMODX Evolution本体の脆弱性ではなく、同梱されているForgot Manager Loginプラグインの脆弱性です。
Forgot Manager Loginプラグインのバージョンが1.1.5以前(1.1.5含む)の場合に、この脆弱性が有効となります。
Forgot Manager Loginプラグインは、MODx0.9.0を含めた全バージョンで利用可能です。

●解決方法
以下に示す方法のいずれかを行なってください。
  1. Forgot Manager Login プラグインを無効にする
  2. Forgot Manager Loginプラグインを1.1.6以上にアップデートする(最新版は1.0.7Jに同梱されている1.1.9)
  3. MODX Evolution を最新版にアップデートする
  4. 下記の記事に添付されている修正ツールを実行する(※推奨)
アバター
yama
管理人
記事: 2910
登録日時: 2009年7月29日(水) 02:50

Re: 【重要】管理画面認証の脆弱性とその対策(本家版Evolution全バージョン及び日本語版1.0.6J-r1以前)

投稿記事by yama » 2012年11月27日(火) 18:04

viewtopic.php?p=5903#p5903
修正ツールを配布します。該当バージョンのForgot Manager Loginプラグインをお使いの場合はこの修正ツールを実行してください。

画像

インストールされているプラグイン(Forgot Manager Login)に問題がある場合は上記のように表示されます。

画像

修正が完了したら、上記のように表示されます。patch.phpは必要ないので削除してください。

画像

もともと問題がない場合は上記のように表示されます。patch.phpは必要ないので削除してください。

●使い方

  1. 当記事に添付されているpatch.zipを解凍し、patch.phpをmanager/ディレクトリに転送します。
  2. ブラウザでmanager/patch.php にアクセスする
  3. 修正ボタンが表示されている場合は修正ボタンをクリックする
  4. 修正が完了したらpatch.phpを削除する

※注釈
古いバージョンのForgot Manager Loginプラグインはサーバやメールソフトによっては文字化けの問題があり、独自に修正を加えて運用しているケースも多いと思います。そのため、今回は通常のパッチファイルではなく修正ツールを配布します。
アバター
yama
管理人
記事: 2910
登録日時: 2009年7月29日(水) 02:50

Re: 【重要】管理画面認証の脆弱性とその対策(本家版Evolution全バージョン及び日本語版1.0.6J-r1以前)

投稿記事by yama » 2012年11月28日(水) 00:47

http://code.google.com/p/modx-ja/downloads/detail?name=ForgotManagerPassword.zip
MODX Evolution 1.0.6J-r1に同梱のForgot Manager Loginプラグイン1.1.5以前をご利用の場合は、上記のForgot Manager Login1.1.6でアップデートすれば今回の脆弱性を解決することができます。もちろん、上記の記事の修正ツールを使っても同様の修正が可能です。
(※無難に対応したい場合はForgot Manager Login1.1.6にアップデートせず修正ツールを使うことをおすすめします)

今回の修正作業の手順を誤っても、ログインできなくなったりサイトの表示に不具合が出たりする可能性はほとんどありません。早めに対応いただくことをおすすめいたします。