tDiary に CSRF 脆弱性

tDiary に CSRF 脆弱性 13

ストーリー by GetSet 2005年07月21日 10時15分
あなたの日記を改ざんされる可能性も部門より

mass曰く、"tDiaryの脆弱性に関する報告(2005-07-20) によると、Web 日記支援システム tDiary の 2.0.1およびそれ以前と 2.1.1 にクロスサイト・リクエスト・フォージェリ (CSRF) が発見された。安定版の 2.0.2 と開発版の 2.1.2 で対策がされている。tDiary は設定によっては日記の所持者に大きな実行権限が与えられるため、CSRF 脆弱性により tDiary が動作するWebサーバ上で任意のスクリプトやコマンドが tDiary の実行権限にて実行される可能性がある。利用者は直ちにアップデートされたい。
なお、謝辞によると本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、IPA 経由で、JPCERT/CC がベンダとの調整を行ったという。報告者は産業技術総合研究所情報セキュリティ研究センターの大岩寛氏と高木浩光氏。今後も脆弱性情報が適切に報告・対応される環境が維持されることが望まれる。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索13コメント Log In/Create an Account

ユーザおよび開発者の留意点 (スコア:2)

by deleted user (19654) on 2005年07月21日 12時19分 (#769983) ホームページ日記

アップデートの際にはtDiary.org - tDiary 2.0.2、2.1.2リリース [tdiary.org]もご覧ください。

たとえばこんなことが書いてあります:

ユーザ側・Webサーバ側で特殊な設定をしている場合、日記の更新、設定の変更などができなくなる場合があります。

具体的には、以下の場合に問題が生じます。

1. ブラウザからRefererを送出しない設定を行っている場合
2. Webサーバにreverse proxyなどが導入された結果、ユーザに見えるupdate.rbのURLと、サーバの認識するURLが一致しない場合
3. 今回の対策に対応しない、ブラウザ以外のクライアントを使っている場合
ユーザだから (スコア:0)

by Anonymous Coward on 2005年07月21日 12時11分 (#769977)

高木氏といえば「自宅の日記」 [takagi-hiromitsu.jp]で自らtDiaryを使ってらっしゃいますから、ユーザが問題を発見するというオープンソースの利点を裏書きしてくれたってことですかね。
任意のコマンド? (スコア:0)

by Anonymous Coward on 2005年07月21日 18時46分 (#770099)

CSRFはわかるのですが、Webサーバ上で任意のスクリプトやコマンドが実行というのがわかりません。別の脆弱性もあるとかなのでしょうか?
- Re:任意のコマンド? (スコア:0)
  
  by Anonymous Coward
  
  任意のコマンドの例が必要なのですか？
  
  たぶん回答は↓
  - Re:任意のコマンド? (スコア:1)
    
    by deleted user (19654) on 2005年07月22日 9時14分 (#770361) ホームページ日記
    
    tdiary の設定には @secure=true というのがあり、
    これが false だと危険な変数代入やファイル操作をチェックしませんので
    ページ書き換えや設定変更 = rubyスクリプトをなんでも実行可能 = 任意のコマンド
    ということになるのだと思います。たぶん。
    
    シェア
    
    親コメント
    - Re:任意のコマンド? (スコア:0)
      
      by Anonymous Coward
      
      えーということは、@secure = true で使っている人には影響ないってことであってますか?
      - Re:任意のコマンド? (スコア:1)
        
        by mass (8786) on 2005年07月23日 1時36分 (#770796)
        
        他の脆弱性と組み合わされない限りは、
        サーバに被害を与えるようなことはされないと思われますが、
        XSS を仕込まれて困るような Web サービスを提供していても
        問題は発生するでしょう。（cookie に依存した何か、とか）
        
        あとは、自分の日記が気づかない間に自分のものでない意見に
        書き換わっていたりとか、そういう精神的な被害も考えられます。
        こちらのほうが大きいのかもしれません。
        バックアップを取っていない分の自分の日記が全部消されてたら
        かなりショックです……。
        
        シェア
        
        親コメント
- Re:番組の途中ですが、CMです (スコア:0, オフトピック)
  
  by akudaikan (26016)
  
  それなら、IDで書き込めば？
  - Re:番組の途中ですが、CMです (スコア:1)
    
    by ruto (17678) on 2005年07月21日 17時10分 (#770081) 日記
    
    あとでこのIDは私だということが証明できるので十分では。
    
    シェア
    
    親コメント
  - Re:番組の途中ですが、CMです (スコア:0)
    
    by Anonymous Coward
    
    なぜID？実名でないと意味がない。
    貴方のように、IDとその他の情報を結びつける何物も存在しない場合は特に。
    - Re:番組の途中ですが、CMです (スコア:0)
      
      by Anonymous Coward
      
      馬鹿だな。世の中に同姓同名が何人いると思ってるんだ。
      住所と生年月日くらいはないと誰だかわからないだろ。
    - Re:番組の途中ですが、CMです (スコア:0)
      
      by Anonymous Coward
      
      こんなところで実名を書いても、誰も注目してくれないって。
      後で自分のIDで検索して、ああこれが私の生きた証なんだなと自己満足できればそれで十分だよ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

tDiary に CSRF 脆弱性 13

tDiary に CSRF 脆弱性 More ログイン

ユーザおよび開発者の留意点 (スコア:2)

ユーザだから (スコア:0)

任意のコマンド? (スコア:0)

Re:任意のコマンド? (スコア:0)

Re:任意のコマンド? (スコア:1)

Re:任意のコマンド? (スコア:0)

Re:任意のコマンド? (スコア:1)

Re:番組の途中ですが、CMです (スコア:0, オフトピック)

Re:番組の途中ですが、CMです (スコア:1)

Re:番組の途中ですが、CMです (スコア:0)

Re:番組の途中ですが、CMです (スコア:0)

Re:番組の途中ですが、CMです (スコア:0)

スラド