脆弱性情報2件

プログラム(機能)関連の開発の話題
アバター
yama
管理人
記事: 3023
登録日時: 2009年7月29日(水) 02:50

脆弱性情報2件

投稿記事by yama » 2010年4月08日(木) 17:38

http://jvn.jp/jp/JVN19774883/
http://jvn.jp/jp/JVN46669729/

すでに1.0.3リリース時に告知済みですが、JPCERTから脆弱性情報がリリースされました。「MODxを1.0.3にアップデートせよ」となってますが、実際はコアには問題ありません。パッチ配布の用意を進めたいと思います。
sama55
メンバー
メンバー
記事: 816
登録日時: 2009年8月03日(月) 08:16

Re: 脆弱性情報2件

投稿記事by sama55 » 2010年4月08日(木) 19:15

お疲れ様です。
yama さんが書きました:「MODxを1.0.3にアップデートせよ」となってますが、実際はコアには問題ありません。

上記を言い換えると、「スニペット・プラグイン・モジュールなどの部品を入れ替えたり、部品のコードを修正ことで対処できる」 ということでしょうか?
yama さんが書きました:パッチ配布の用意を進めたいと思います。

上記のパッチは、何らかの理由で1.0.2以前のバージョンを使い続ける人にも有効なものと考えてよいでしょうか?
アバター
yama
管理人
記事: 3023
登録日時: 2009年7月29日(水) 02:50

Re: 脆弱性情報2件

投稿記事by yama » 2010年4月08日(木) 19:41

sama55 さんが書きました:お疲れ様です。
yama さんが書きました:「MODxを1.0.3にアップデートせよ」となってますが、実際はコアには問題ありません。

上記を言い換えると、「スニペット・プラグイン・モジュールなどの部品を入れ替えたり、部品のコードを修正ことで対処できる」 ということでしょうか?
yama さんが書きました:パッチ配布の用意を進めたいと思います。

上記のパッチは、何らかの理由で1.0.2以前のバージョンを使い続ける人にも有効なものと考えてよいでしょうか?


Yes.

対象はSearchHighlight(AjaxSearch)とWebLoginです。どちらもスニペットなので、サイト上で使ってない場合は影響ありません。SearchHighlightはプラグインなので、アップデートするか削除・無効化する必要があると思います。どのバージョンから混入したバグなのか(それとも最初からなのか)はまだ分かってません。
本来なら本体1.0.3リリースと同時にパッチを出すのがよいですね・・
アバター
yama
管理人
記事: 3023
登録日時: 2009年7月29日(水) 02:50

Re: 脆弱性情報2件

投稿記事by yama » 2010年4月09日(金) 08:40

1件はそうしさんが見つけた脆弱性で、こっちはだいたい分かります。

http://jvndb.jvn.jp/ja/contents/2010/JV ... 00013.html
んー、、スクリプトを埋め込むことまではできないはずですが。誤って伝わってます。

もう一件のAjaxSearchの脆弱性は、同梱のSearchHighlightの動作原理に由来するものです。htmlのタグに関してはprotect.inc.phpが面倒を見てくれますが、SQLインジェクションに関してはプラグイン側で配慮する必要があるのだと思います。

以上、まだパッチ用意してないですが気になった点だけお伝えしますー

追記
よく見てみると、SQLインジェクションが認められたのはWebLoginのほうのようです。改修コードを書いたのはそうしさんで、実際に有効なコードですが、SQLインジェクションを引き起こす恐れがあると報告したのは別の人ですね。そうしさんの手が空き次第、もう少し詳しく調べてみます。