[重要] Sage++ (Higmmer's Edition)の高速HTMLフィルタの脆弱性対策について

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-28 at 01:47:41

◆共有テーマ: Firefox [コンピュータ]

※下記脆弱性対策を施したVersion 1.3.10をリリース致しました(1/30追記)。

この度は「Sage++ (Higmmer's Edition)」の脆弱性情報に関してユーザー並びに関係者の皆様にご心配・ご迷惑をおかけして申し訳ありません。

現時点におきまして、Sage++に搭載されている「高速HTMLフィルタ」に脆弱性を含む深刻な欠陥が存在していることが判明しています。

【脆弱性の種類】
  スクリプトインジェクション(注入)

【対象】
  Sage++ (Higmmer's Edition) 1.3.9以下
  公式版Sage 1.3.10以下 及び 1.4

【影響】
  高速HTMLフィルタの処理に一部不備があり、
  任意のスクリプトが出力HTMLに混入する恐れがあります

【対策】
  高速HTMLフィルタを使用しない →Sage++ 1.3.10で無効化済み
  公式版Sageでの対策については後述

つきましては、Sage++の使用を継続される場合は「高速HTMLフィルタ」は絶対に使用しないようにお願い致します(詳しい設定方法はこちらを参照して下さい)。この機能は次回リリース時に削除する予定です。Version 1.3.10において廃止させて頂きました。

この脆弱性は以下のいずれかの対策を行うことで回避できます。

  1. HTMLフィルタ方式を「詳細」に設定する
  2. 「HTMLタグを許可する」をオフにする
  3. 「コンテンツエリアにフィードを読み込む」をオフにする
  4. NoScript拡張を導入する(*)
  5. Firefoxのオプション→コンテンツで「Javascriptを有効にする」のチェックを外す(*)
(*) 但しこの場合、拙作の「Read Manager for Sage++」は動作しなくなります。

この脆弱性は葉っぱ日記さんに教えて頂いたテストによって判明しました(詳しくはこちら)。情報提供に感謝致します。尚、この脆弱性がJPCERT/CCに通報された内容と関連があるかどうかは不明です。一部関連があった模様です。詳しくはこちらのエントリを参照して下さい。

今のところ「詳細HTMLフィルタ」については脆弱性は確認できていませんが、できるだけNoScript拡張と併用するなどの自衛措置を取って下さい。但しそれでもスクリプトインジェクション系以外の脆弱性には対応できませんので、もし少しでも不安がある場合は直ちにSage++の使用を中止して下さい。


~参考情報~

JVNよりSage/Sage++の脆弱性に関する情報が公開されたのを受けて補足エントリを掲載しました。(2/10追記)

Sage++ (Higmmer's Edition) 1.3.9に搭載されている「高速HTMLフィルタ」は本家Sage 1.3.9に含まれるHTMLフィルタと同等の実装となっています。従って上記脆弱性は本家Sage 1.3.9にも存在します。またSage 1.4の場合も同様です(*)。

(*) 但しSage 1.4に含まれるHTMLフィルタはSage 1.3.8相当の実装であり、1.3.9で行われた脆弱性対策が反映されていません(1/27現在)。
→Sage 1.3.10での修正が一部反映されていることを確認しました(2/3現在)。但しまだ既知の脆弱性が残っていますので注意して下さい(この問題もまだ残っています)。

参考までに、現在までに当方が把握している脆弱性に対して取り得る対策を各Sage毎にまとめてみました。
但し表中で「○」になっていても100%安全とは限りませんので注意して下さい。

→ この内容は こちらのエントリ に移動しました ←

本家Sage 1.3.x/1.4ユーザーの方も、上記の表を参考に各自で必要な対策を取って頂ければと思います。


(1/30追記)Sage++に搭載されているHTMLフィルタに関する技術的補足」をアップしました。

(1/30追記) 本家Sageプロジェクトより公式版Sage 1.3.10がリリースされましたが、まだ一部の脆弱性対策が不十分なようです。ユーザーの方は引き続き注意して下さい。詳しくはこちらを参照して下さい。

(2/3追記) Sage 1.3.10において新たな脆弱性が判明したのを受けて一覧表を更新しました。

(2/4追記) Sage 及び Sage++ に未知の脆弱性があるという情報を受けて一覧表を更新。

(2008/4/27) Sage 1.9.3のリリースを受けて一覧表を更新

(2009/11/26) 一覧表を別エントリに移動

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲