ひぐまのひまグ

この度は「Sage++ (Higmmer's Edition)」の脆弱性情報に関してユーザー並びに関係者の皆様にご心配・ご迷惑をおかけして申し訳ありません。

• [重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明

現時点におきまして、Sage++に搭載されている「高速HTMLフィルタ」に脆弱性を含む深刻な欠陥が存在していることが判明しています。

【脆弱性の種類】
　　スクリプトインジェクション(注入)

【対象】
　　Sage++ (Higmmer's Edition) 1.3.9以下
　　公式版Sage 1.3.10以下 及び 1.4

【影響】
　　高速HTMLフィルタの処理に一部不備があり、
　　任意のスクリプトが出力HTMLに混入する恐れがあります

【対策】
　　高速HTMLフィルタを使用しない →Sage++ 1.3.10で無効化済み
　　公式版Sageでの対策については後述

つきましては、Sage++の使用を継続される場合は「高速HTMLフィルタ」は絶対に使用しないようにお願い致します(詳しい設定方法はこちらを参照して下さい)。この機能は次回リリース時に削除する予定です。Version 1.3.10において廃止させて頂きました。

この脆弱性は以下のいずれかの対策を行うことで回避できます。

1. HTMLフィルタ方式を「詳細」に設定する
2. 「HTMLタグを許可する」をオフにする
3. 「コンテンツエリアにフィードを読み込む」をオフにする
4. NoScript拡張を導入する(*)
5. Firefoxのオプション→コンテンツで「Javascriptを有効にする」のチェックを外す(*)

この脆弱性は葉っぱ日記さんに教えて頂いたテストによって判明しました(詳しくはこちら)。情報提供に感謝致します。尚、この脆弱性がJPCERT/CCに通報された内容と関連があるかどうかは不明です。一部関連があった模様です。詳しくはこちらのエントリを参照して下さい。

今のところ「詳細HTMLフィルタ」については脆弱性は確認できていませんが、できるだけNoScript拡張と併用するなどの自衛措置を取って下さい。但しそれでもスクリプトインジェクション系以外の脆弱性には対応できませんので、もし少しでも不安がある場合は直ちにSage++の使用を中止して下さい。

〜参考情報〜

Sage++ (Higmmer's Edition) 1.3.9に搭載されている「高速HTMLフィルタ」は本家Sage 1.3.9に含まれるHTMLフィルタと同等の実装となっています。従って上記脆弱性は本家Sage 1.3.9にも存在します。またSage 1.4の場合も同様です(*)。

参考までに、現在までに当方が把握している脆弱性に対して取り得る対策を各Sage毎にまとめてみました。
但し表中で「○」になっていても100%安全とは限りませんので注意して下さい。

本家Sage 1.3.x/1.4ユーザーの方も、上記の表を参考に各自で必要な対策を取って頂ければと思います。

(1/30追記) 「Sage++に搭載されているHTMLフィルタに関する技術的補足」をアップしました。

(1/30追記) 本家Sageプロジェクトより公式版Sage 1.3.10がリリースされましたが、まだ一部の脆弱性対策が不十分なようです。ユーザーの方は引き続き注意して下さい。詳しくはこちらを参照して下さい。

(2/3追記) Sage 1.3.10において新たな脆弱性が判明したのを受けて一覧表を更新しました。

(2/4追記) Sage 及び Sage++ に未知の脆弱性があるという情報を受けて一覧表を更新。

(2008/4/27) Sage 1.9.3のリリースを受けて一覧表を更新