今日の研究:MT3.2x以前を利用の方要注意!
2006年9月28日 21:20
Movable Typeのプログラムにおいてによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。
というお知らせがシックスアパート社からあったので、Movable Type Movable Type 3.33をダウンロードして早々にバージョンアップした。
今回のバージョンアップは、差分ファイルや説明文から察するに、クロスサイトスクリプティング(Cross Site Scripting)に対するサニタイズ(sanitize)能力を強化したと言い換えてもよいだろう。
Movable Type 3.32からの差分は以下の9ファイルである。わかる方はあらかじめ下記のパッチファイルを作ってアップロードすれば楽だと思う。
※もちろん、実行した場合の責任は自分持ちである。
/lib/MT.pm
/lib/MT/App.pm
/lib/MT/Log.pm
/lib/MT/Sanitize.pm
/lib/MT/App/CMS.pm
/lib/MT/App/Search.pm
/php/mt.php
/php/lib/sanitize_lib.php
/plugins/nofollow/nofollow.pl
MT3.3x以前をご利用の方は後悔しない前に、急ぎバージョンアップされたし。
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
※シックスアパート社では、MT3.2以前を利用の方に、MT3.33にバージョンアップしてもうよう、強く推奨しえいるが、速やかにバージョンアップできない方をバージョン3.2用のパッチも提供している。
ついでなので、クロスサイトスクリプティングについて…、少し。
意味は、プログラムでWebページを生成するシステムのセキュリティ上の不備を意図的に利用し、悪意のあるスクリプトを混入させること。また、それを許す脆弱性。
たとえば、HTML内に記入して実行できるスクリプトとして、代表的なものにJavaScriptとPHPがあげられる。 ブログのコメントフォームでHTMLを許可している場合、何もクロスサイトスクリプティング対策をしてなければ、PHPやJavaScriptが実行できる。
例として、下記のPHPスクリプトを何も対策をしていないブログのコメントフォームに記述すると…、PHPが実行され、はじめまして!と表示される。
<?php
echo "はじめまして!";
?>
このスクリプトは、HTML上に”はじめまして!”と表示するだけの害のないものであるが、さらに凝った悪質なPHPスクリプトも実行可能なわけだ。
で、これを防ぐには通常、サニタイズ(sanitize)処理を行う。
簡単に説明すれば、入力データからHTMLタグやJavaScript、SQLなどの文字を検出し、置き換えを行うことで無害化する処理を行う。
※sanitizeとは、「無害にする」という意味。
掲示板などの入力フィールドを持つWebページにおいて、HTMLタグやスクリプトなどとして機能する文字列を特殊文字に変換したり、文字列自体を削除したりすることで、タグやスクリプトとして機能しなくすること。
たとえば、上記PHPスクリプトはサニタイズ処理を行うことにより、コード上は下記のような、実行不可能なテキストに置き換えられる。
<?php
echo "はじめまして!";
?>
Web上の表示は上記と同じだが、コード場の表記はご覧の通り異なり、スクリプトはただのテキストに変換されるので無害なものとなる。
私は専門家ではないので、詳細は下記でもお読みいただきたい。
@IT:クロスサイトスクリプティング対策の基本
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
参考になれば、幸い。
投稿者: Dakiny 日時: 2006年9月28日 21:20 | 
| 
トラックバック
このエントリーのトラックバックURL:
http://www.dakiny.com/mtos/mt-tb.cgi/1192
※文章内容と関係のないトラックバックは固くお断り。
