フレッシュリーダーの脆弱性に関連してSage++のこと

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-18 at 21:41:28

◆共有テーマ: Firefox [コンピュータ]

(1/25追記) 本エントリに関連してお詫びと釈明させて頂きます。

(2/10追記) JVNより当該脆弱性に関する情報が公開されたのを受けて補足エントリを掲載しました。

サーバー型RSSリーダー「フレッシュリーダー」に「任意の JavaScriptが実行される脆弱性」が存在することが発見されたそうです。これに対策したバージョン1.0.07010600が本日付けでリリースされています。

詳しくは以下のリンクを参照。

さて、当ひまグで何故このニュースを取り上げるかというと、実はこちらで公開しているSage++ (Higmmer's Edition)についても脆弱性(*)があると、昨年12月14日にJPCERT/CCより連絡を受けていたからです。

(*) 但し当該脆弱性がフレッシュリーダーに存在したものと同一又は類似、或いは関連性があるかどうか含め、その詳細については一切不明です(1/29追記)。

実はこの連絡を受けるまで寡聞にしてJPCERT/CCという組織のことは知らなかったのですが、Wikipediaによると「コンピューターセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う中間法人」らしいです。

本来なら早急に脆弱性の内容を確認して対策バージョンをリリースすべきだとは思うんですが、JPCERT/CCから脆弱性情報の詳細を入手するには開発者ベンダ登録リストというものに住所・氏名・電話番号等の個人情報を登録する必要があるらしく、残念ながら当方では緊急度・影響度が不明な脆弱性情報を入手することの必要性と、そのために自分自身の個人情報を晒すというリスクの度合いを比較検討した結果、これ以上の情報入手を断念しました。従いまして指摘を受けた脆弱性(具体的内容は不明)は現時点でも対策されていません。

ただ、JPCERT/CCからの連絡によるとこの脆弱性はオリジナルのSage 1.3.9にも存在するらしいので、Higmmer's Editionで新たに紛れ込んだ脆弱性ではない模様です(→1/25追記: この記述は断片的な情報を元にした筆者の推測に過ぎず、実際に本家Sageに脆弱性が存在するかどうかは不明です。お詫びして訂正します)。脆弱性の連絡は本家プロジェクトチームにも行っているらしいので、近々本家から修正バージョンがリリースされるものと思われます。それが公開され次第、当該修正内容をHigmmer's Editionにもマージしたいと考えています。本家から公式版1.3.10がリリースされたのを受け、拙作Sage++についてもVersion 1.3.10をリリースしました。詳しくはこちらを参照して下さい(1/30追記)。

脆弱性の内容が一切不明なため、これを回避すべくユーザー側で取れる対策も不明ですが、一般論として、当ひまグでは以下の対策を挙げておきます。

  • 信頼できないフィードを購読しない
  • 以下のいずれかの対策を行う(下へ行くほどマシかも?)
  • Sage及びSage++ (Higmmer's Edition)の使用を中止する

ユーザーの皆様にはご不便ご心配をおかけしますが、ご理解のほどよろしくお願い致します。


~業務連絡~

もしこのエントリをご覧になっている方でJPCERT/CCに脆弱性の報告をされたご本人がいらっしゃいましたら、当エントリの非公開コメントか左のメールフォームからご連絡頂けませんでしょうか? とりあえずメールアドレスだけでも教えて頂ければ、PGPで暗号メールのやり取りができる用意はあります。

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

Tracked from 最速インターフェース研究会  on 2007-01-25 at 14:41:20
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。この記事はひどすぎると思う。フレッシュリーダーの脆弱性に関連してSag

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲