ひぐまのひまグ

サーバー型RSSリーダー「フレッシュリーダー」に「任意の JavaScriptが実行される脆弱性」が存在することが発見されたそうです。これに対策したバージョン1.0.07010600が本日付けでリリースされています。

詳しくは以下のリンクを参照。

• [20070118] フレッシュリーダーの脆弱性とセキュリティ対応版の公開について (freshreader.com)
• フレッシュリーダーにおける RSS フィード クロスサイトスクリプティングの脆弱性 (JPCERT/CC)

さて、当ひまグで何故このニュースを取り上げるかというと、実はこちらで公開しているSage++ (Higmmer's Edition)についても脆弱性(*)があると、昨年12月14日にJPCERT/CCより連絡を受けていたからです。

実はこの連絡を受けるまで寡聞にしてJPCERT/CCという組織のことは知らなかったのですが、Wikipediaによると「コンピューターセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う中間法人」らしいです。

本来なら早急に脆弱性の内容を確認して対策バージョンをリリースすべきだとは思うんですが、JPCERT/CCから脆弱性情報の詳細を入手するには開発者ベンダ登録リストというものに住所・氏名・電話番号等の個人情報を登録する必要があるらしく、残念ながら当方では緊急度・影響度が不明な脆弱性情報を入手することの必要性と、そのために自分自身の個人情報を晒すというリスクの度合いを比較検討した結果、これ以上の情報入手を断念しました。従いまして指摘を受けた脆弱性(具体的内容は不明)は現時点でも対策されていません。

ただ、JPCERT/CCからの連絡によるとこの脆弱性はオリジナルのSage 1.3.9にも存在するらしいので、Higmmer's Editionで新たに紛れ込んだ脆弱性ではない模様です(→1/25追記: この記述は断片的な情報を元にした筆者の推測に過ぎず、実際に本家Sageに脆弱性が存在するかどうかは不明です。お詫びして訂正します)。脆弱性の連絡は本家プロジェクトチームにも行っているらしいので、近々本家から修正バージョンがリリースされるものと思われます。それが公開され次第、当該修正内容をHigmmer's Editionにもマージしたいと考えています。本家から公式版1.3.10がリリースされたのを受け、拙作Sage++についてもVersion 1.3.10をリリースしました。詳しくはこちらを参照して下さい(1/30追記)。

脆弱性の内容が一切不明なため、これを回避すべくユーザー側で取れる対策も不明ですが、一般論として、当ひまグでは以下の対策を挙げておきます。

• 信頼できないフィードを購読しない
• 以下のいずれかの対策を行う(下へ行くほどマシかも?)
  • HTMLフィルタ方式を「詳細」にし、適切なフィルタを設定する
  • 「HTMLタグを許可する」をオフにする (→2/3追記: これだけでは防げない脆弱性あり)
  • NoScript拡張を導入する (1/28追記)
  • 「フィードをコンテンツエリアに読み込む」をオフにする
• Sage及びSage++ (Higmmer's Edition)の使用を中止する

ユーザーの皆様にはご不便ご心配をおかけしますが、ご理解のほどよろしくお願い致します。

〜業務連絡〜

もしこのエントリをご覧になっている方でJPCERT/CCに脆弱性の報告をされたご本人がいらっしゃいましたら、当エントリの非公開コメントか左のメールフォームからご連絡頂けませんでしょうか? とりあえずメールアドレスだけでも教えて頂ければ、PGPで暗号メールのやり取りができる用意はあります。