ようこそ! 株式会社アイビー・ウィー, ゲスト

Geeklog IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性

General News

Geeklog 2.1.1 IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行される危険性があります。
この問題の影響を受けるGeeklog IVYWEバージョンを以下に示しますので、以下の修正方法を適用してください。

脆弱性が発見されたGeeklogディストリビューション

Geeklog 2.1.1 IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master
期間:2015/12/31 - 2016/08/16

対策方法

現在活用中のテーマディレクトリにおけるheader.thtmlおよびarticle/article.thtmlをそれぞれ修正してください。

配布パッケージにおける該当ソースファイル:

public_html/layout/default/header.thtml
public_html/layout/bento/header.thtml
public_html/layout/fotos/header.thtml
public_html/layout/default/article/article.thtml

 

修正方法

以下のファイルの該当箇所を検索してそれぞれ修正してください。

1) public_html/layout/現在利用しているテーマ/header.thtml 修正内容

from:

<?php echo COM_getCurrentURL(); ?>
to:
<?php echo htmlspecialchars(COM_getCurrentURL(), ENT_QUOTES, 'utf-8'); ?>

2) public_html/layout/現在利用しているテーマ/article/article.thtml 修正内容

from:

<?php echo COM_getCurrentURL(); ?>
to:
{site_url}/article.php/{story_id}

以上のファイルをご利用中の方は、至急ご対応くださいますよう、おねがいします。

脆弱性が含まれたバージョンの配布の経緯について

バージョン: Geeklog 2.1.1

期間:2015/12/31 - 2016/08/16

該当のソースファイル:

2015/12/31  に脆弱性が加えられたファイル

public_html/layout/default/header.thtml
public_html/layout/bento/header.thtml
public_html/layout/fotos/header.thtml

コミットURL:

https://github.com/ivywe/geeklog-ivywe/commit/d2e8c37d889e2e604b5438a6e41a31c231f29746#diff-4bbe14c5b02f823a4c61910c3d3b6e2f

2016/01/08  に脆弱性が加えられたファイル

public_html/layout/default/article/article.thtml

コミットURL:

https://github.com/ivywe/geeklog-ivywe/commit/8720e0ff5d5cb0248a6051fc5573d0ec75c202fe#diff-4bbe14c5b02f823a4c61910c3d3b6e2f

脆弱性がもたらす脅威

XSSフィルターが有効なブラウザーでは、自動的にこの脅威は回避されますが、XSSフィルターのモードを無効に設定した場合、以下の脅威があります。

攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行されます。
ユーザ環境で不正スクリプトが実行されることにより、不正プログラムの感染、ユーザを騙す表示によるフィッシング詐欺、クッキー情報の取得によるセッションハイジャック、情報詐取、他の不正サイトへの誘導、などの被害に繋がります。

関連情報

JVNDB-2016-000150 Geeklog IVYWE版におけるクロスサイトスクリプティングの脆弱性

謝辞

この脆弱性は、三井物産セキュアディレクション株式会社 小河哲之氏より、この問題をJPCERT/CC 脆弱性情報ハンドリングチームを介してご報告いただき、対応させていただきました。ご報告誠にありがとうございました。

対応策に関しては、Geeklogメンテナーのmystralkkさんからご協力いただきました。ありがとうございました。

連絡先

脆弱性連絡窓口
電話 :050-3709-1231 (平日 10:00 – 17:00)
メール:info@ivywe.co.jp