【重要】管理画面認証の脆弱性とその対策(本家版Evolution1.0.7及び日本語版1.0.5J-r10以前)

日本公式からのお知らせ
閉鎖
アバター
yama
管理人
記事: 3236
登録日時: 2009年7月29日(水) 02:50

【重要】管理画面認証の脆弱性とその対策(本家版Evolution1.0.7及び日本語版1.0.5J-r10以前)

投稿記事 by yama »

MODX Evolution 1.0.7 (and prior) ForgotManager plugin Vulnerability

http://forums.modx.com/thread/81545/
本家開発チームより、MODX Evolutionの脆弱性についてアナウンスがありました。対策も同時に提示されていますので、取り急ぎ当フォーラムで告知いたします。
高い危険度を持つ脆弱性としてアナウンスされており、条件が該当する場合は早急な対応を行なうことをおすすめします。

2012年2月13日リリースの日本語版 MODX Evolution 1.0.5J-r11以降(r11含む)ではこの件について問題ありません。

●概要
MODX Evolutionパッケージに同梱されているForgot Manager Loginプラグインは、認証なしの管理画面アクセスを可能とする脆弱性があります。
今回の脆弱性はMODX1.0.7で行なわれた対策に起因するもので、MODX1.0.7同様の対策を行なった過去バージョンのMODXも対象となります。

●対象バージョン
日本語版 MODX Evolution 1.0.5J-r10以前の全バージョンで、2012年11月27日に本家フォーラムで案内された修正方法に従ってForgot Manager Loginプラグインの修正を行なった環境及び、日本チームが提供している修正ツールを実行した環境。

本家版 MODx 1.0.7
(※ただしForgot Manager Loginプラグインがインストールされていない環境・無効になっている環境は対象外)

本家版 MODx 0.9.0 から Evolution 1.0.6(最新版)までの全バージョンで、2012年11月27日に案内された修正方法に従ってForgot Manager Loginプラグインの修正を行なった環境及び、日本チームが提供している修正ツールを実行した環境。

※正確な情報
本件は、正確にはMODX Evolution本体の脆弱性ではなく、同梱されているForgot Manager Loginプラグインの脆弱性です。
Forgot Manager Loginプラグインのバージョンが1.1.5以前(1.1.5含む)の場合に、この脆弱性が有効となります。
Forgot Manager Loginプラグインは、MODx0.9.0を含めた全バージョンで利用可能です。

●解決方法
以下に示す方法のいずれかを行なってください。
  1. Forgot Manager Login プラグインを無効にする
  2. Forgot Manager Login プラグインを1.1.6以上にアップデートする(最新版は1.0.8Jに同梱されている1.1.9、未知の不具合が埋もれにくい構造に書き直した1.2を現在準備中)
  3. 最新のMODX Evolution 1.0.8Jにアップデートする(手間はかかりますがこれが一番おすすめです)
  4. 下記メッセージに添付されている修正ツールを実行する(※サイトに影響を及ぼす可能性が低い最少の処置で済ませたい場合はこちらを推奨)
  5. 不正ログインプロテクタープラグインをインストールする(※サイトに影響を及ぼす可能性が低い最少の処置で済ませたい場合はこの方法も推奨)
アバター
yama
管理人
記事: 3236
登録日時: 2009年7月29日(水) 02:50

Re: 【重要】管理画面認証の脆弱性とその対策(本家版Evolution1.0.7及び日本語版1.0.5J-r10以前)

投稿記事 by yama »

patch11.zip
(1.54 KiB) ダウンロード数: 1529 回
修正ツールを配布します。該当バージョンのForgot Manager Loginプラグインをお使いの場合はこの修正ツールを実行してください。チェッカーとしても機能しますので、脆弱性があるかどうかよく分からない場合にとりあえず実行いただいてもよいと思います。
MODX本体やプラグインのアップデートよりも手軽・安全に実行できますので、ぜひご利用ください。

当ツールは、無効にしているForgot Manager Loginプラグインのコードも修正します。
また、前回見つかった管理画面認証の脆弱性も修正します。

画像

インストールされているプラグイン(Forgot Manager Login)に問題がある場合は上記のように表示されます。

画像

修正が完了したら、上記のように表示されます。patch.phpは必要ないので削除してください。

画像

もともと問題がない場合は上記のように表示されます。patch.phpは必要ないので削除してください。

●使い方
  1. 当記事に添付されているpatch.zipを解凍し、patch.phpをmanager/ディレクトリに転送します。
  2. ブラウザでmanager/patch.php にアクセスする
  3. 修正ボタンが表示されている場合は修正ボタンをクリックする
  4. 修正が完了したらpatch.phpを削除する
  5. Forgot Manager Loginプラグインが正常に動作しているかどうかテストする(ログイン画面の「パスワードを忘れた場合はこちら」をクリック)
※注釈
古いバージョンのForgot Manager Loginプラグインに独自の修正を加えて運用しているケースを想定し、今回は通常のパッチファイルではなく修正ツールを配布します。

http://modx.jp/download/download_evo.html
MODX本体をアップデートできる場合は上記から最新版を入手してください。

http://forum.modx.jp/viewtopic.php?f=34&t=1053
Forgot Manager Loginプラグインをアップデートできる場合は上記をご利用ください。
閉鎖