アカウント名:
パスワード:
本リリースは、XOOPS 2.0.X JPシリーズ利用者向けのメンテナンスリリースです。サーバー環境設定等に起因する既知のセキュリティ上の問題への予防策が追加されています。変更点の詳細は「更新履歴」をご覧ください。
セッション管理の強化(session_regenerate_id())サーバーの設定に不備があった場合に、セッション固定攻撃によるセッションハイジャックが行われる可能性に対しての予防措置(※)。- include/checklogin.php- include/session.php- (extras)/login.php※ このアップデートにより、PHPの環境設定などサーバーの設定に不備があった場合の問題を一部回避出来る可能性がありますが、環境設定に不備のあるサーバーでのWebアプリケーションの利用が推奨されるものではありません。Webサイト運用上のセキュリティリスク軽減のためには、XOOPSのアップデートだけではなく、Webサイトの環境設定に問題がないか、十分ご注意ください。
session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。
1.攻撃者がシステムにアクセスし、セッション ID を取得する。ログインしていないがセッション ID は発行される。2.攻撃者は、正規ユーザがそのセッション ID を使ってログインするように仕向ける3.正規ユーザがそのセッション ID でログインすると、そのセッションは「ログイン済み」となる
これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
ひきこみ
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
投稿者: GIJOE 投稿日時: 2006-08-01 06:13:28 (1177 ヒット) これ、実際に経験してみれば判ることですが、ほとんど成功しない攻撃です。しかも、 session.use_only_cookies 1 は推奨設定です。 こんなのを今さら「XOOPSの脆弱性」として連絡してくるあたり、JPCERTという組織のレベルの低さを証明しているわけですが、ちゃんと対応するコアチームは素直に偉いと思います。
というわけで、急いで2.0.16-JPにアップデートする必要はありません。元々がおかしな報告だったのですから、session.use_only_cookies 1 であることを確認した上で、2.0.15-JPのまま運用するのが良いでしょう。
; This option enables administrators to make their users invulnerable to ; attacks which involve passing session ids in URLs; defaults to 0. ; session.use_only_cookies = 1
違いますよ。session.use_only_cookies=1 にしても脆弱です。 ウェブブラウザは何使ってますか?
タレコミのIPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
ウェブアプリケーション側で対処しない場合は、「Cookie Monster」と呼ばれるドメインをまたがったCookie のセットができてしまう問題を抱えたブラウザ(Mozilla、Firefox などが該当)をそのウェブアプリケーションの ログインに使用しないようにする必要があります。また、加えて、ウェブアプリケーションサーバ製品に「セッシ ョンID の固定化」の脆弱性がある場合には、パッチを適用するか、設定で回避する必要があります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
分かりにくい? (スコア:4, すばらしい洞察)
「更新履歴」がどこか分からないけれど、このページの下の方にある「変更履歴」かな。そこには、
とあります。session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。いずれにしても、どういうサーバー環境設定が危ないのか明示してくれると、皆さん楽チンだと思います。ガーベジコレクション?
別にXoops使いじゃないけど。
--- Dead Poet Social Club
Re:分かりにくい? (スコア:0)
Re:分かりにくい? (スコア:0)
まとめてみました (スコア:4, 参考になる)
Re:まとめてみました (スコア:1)
http://www.xugj.org/ [xugj.org] と http://xoopscube.jp/ [xoopscube.jp] の関係って?
XOOPS使いではありませんが、PHP使いなので情報は知っておいた
方が何かと都合が良いですからね。
--- Dead Poet Social Club
Re:まとめてみました (スコア:1)
XOOPS2系とXOOPS系-JPは別物です (スコア:2, 参考になる)
XOOPSに脆弱性があっても、XOOPS 2.0.x-JP系に脆弱性がない場合があります。
Session Fixationってなに? (スコア:2, すばらしい洞察)
というわけでリンク
用語「セッション固定攻撃」 [bakera.jp]
Re:Session Fixationってなに? (スコア:2, 参考になる)
これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?
セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。
それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
Re:Session Fixationってなに? (スコア:2, 参考になる)
DocomoはCookieが使えないから、i-mode対応を謳うログインの必要なサービスは危ないところが多いと思います。
まぁ、この場合はXoopsでの対応のようにログイン時にセッションキーを変えてしまう方法で防ぐことはできるでしょう。
Re:Session Fixationってなに? (スコア:1)
そもそも「1」のような事象を発生させないことがポイントでは?
# 考え方としてはfail-safenessを持つ方に振るべきだと
…とはいえ、端末/アプリの仕様や使い勝手やユーザーのスキル等々の(時として訳の分からない)理由により、
事前にセッションIDを発行する(せざるを得ない)ケースもありますよね…
かなり既知でしょうが、高木氏の「安全なWebアプリ開発の鉄則 2004」から
http://www.soi.wide.ad.jp/class/20040031/slides/10/33.html [wide.ad.jp]
Re:Session Fixationってなに? (スコア:0)
そうです。Firefox使いはアウトです。
IE を使いましょう。
Re:Session Fixationってなに? (スコア:0)
で、その攻撃方法としてよく挙げられるのが下記の脆弱性を利用したものなので、脆弱性に脆弱性が絡んで話がややこしくなるというわけです。
・URLからセッションIDを指定する(フレームワークなどのSession Adoption脆弱性)
・広範囲のドメインにばら撒かれるクッキーを使う(ブラウザのCookie Monsterバグ)
Re:Session Fixationってなに? (スコア:1)
Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか [takagi-hiromitsu.jp]
しかし、なんとグダグダな問題なんだ……
Re:Session Fixationってなに? (スコア:0)
って言うんじゃない?
# 時代劇を見ているのでAC
XOOPSはやばい (スコア:1, 興味深い)
そういのは使わないほうがよさそうです。
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
レベルが低いのはお前だろ! こんな人たちの製品は危なくて使えません。Re:XOOPSはやばい (スコア:1, 参考になる)
Re:XOOPSはやばい (スコア:1, 参考になる)
違いますよ。session.use_only_cookies=1 にしても脆弱です。
ウェブブラウザは何使ってますか?
タレコミのIPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
これらは or ではなくて、and ですね。Re:XOOPSはやばい (スコア:0)
そして、それぞれが、何かのミスによる物でもない。
相性が悪いという程度の事。
なのに、なぜ、XOOPSだけが責められているのだろう?
見方を変えれば、Cookie Monsterの脆弱性と言えるのでは?
Re:XOOPSはやばい (スコア:0)
で、どうすればいいの?
Re:XOOPSはやばい (スコア:0)
そして、Xoopsはそういう対応をした。
以上。
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
じゃだめなのかな。
RFCみたら返すときにドメインも一緒に返すように見えたんだけど。
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
私も持っていますが、攻撃を煽るような書き方があって危険な香りがします。
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
海外の人も結構いますよ。αやβを試用してレポートで
貢献してる層はむしろ海外>日本ではないかと。
(中の人じゃないので外から見える範疇での話しだけど)
XOOPSってどっちだ (スコア:0)
日本ではXOOPSといえばXOOPS Cube?
耐震偽装と同じ (スコア:0, オフトピック)
XOOPS側のフレームワークを無視して勝手にMySQLにしか互換性のないSQLを吐くプラグインがごまんとあるんだぜ。
後は言わなくても分かるよな?
Re:耐震偽装と同じ (スコア:0)
Re:耐震偽装と同じ (スコア:0)
載ってなく? (スコア:0, オフトピック)
日本語は正しく。
「載っておらず」
Re:「モヒカン族」 (スコア:0)
Re:「モヒカン族」 (スコア:1, おもしろおかしい)
「おまけこそスルー力が足りないぞ」と言われるような気もするAC
Re:「モヒカン族」 (スコア:0)
それをいうなら「おまえこそ」でしょ。
アッ!ツラレチャッタ・・・
Re:「モヒカン族」 (スコア:0)
Re:「モヒカン族」 (スコア:0)
って、編集者のotsuneさん?
セクションローカルでいいのでは (スコア:0)
最近はトップにもタイトルだけ載るし、それ見て興味ある人は読むから。