Internet Watch logo
記事検索
最新ニュース

「tDiary」にクロスサイト・リクエスト・フォージェリの脆弱性


 情報処理推進機構セキュリティセンター(IPA/ISEC)は20日、CGI上で日記を作成できるブログ作成ツール「tDiary」にクロスサイト・リクエスト・フォージェリ(CSRF:Cross Site Request Forgeries)が可能な脆弱性があることを公表した。JPCERT/CCとIPA/ISECが共同運営する脆弱性情報の提供サイト「JP Vendor Status Notes(JVN)」で公表した。

 脆弱性の影響を受けるバージョンは、tDiaryの「2.0.1」以前と「2.1.1」。tDiaryではブラウザの「ベーシック認証」機能を利用してログインする。悪意のあるページではこの認証データを悪用してtDiaryにログイン。記事本文の改竄や削除、設定の変更などが行なわれる危険性がある。また、tDiaryが動作するWebサーバー上で任意のスクリプトやコマンドがtDiaryの実行権限にて実行される恐れもあるという。

 こうした指摘を受けてtDiary.orgでは、脆弱性を修正した最新版「2.0.2(安定版)」「2.1.2(開発版)」をリリースした。最新版で導入した対策では、1)日記の更新・設定の変更がPOSTメソッドで行なわれること、2)リファラーの値が正当であること、3)フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーが正しいこと――の3点をチェックするようにした。対策を実施するには、設定画面に追加された「CSRF(乗っ取り)対策」ページを使用する。

 ただし、上記の2)あるいは3)についてはユーザー側の対応も必要になる可能性がある。ユーザー側・Webサーバー側で特殊な設定をしている場合、日記の更新、設定の変更などができなくなる場合があるという。具体的には、1)ブラウザからリファラーを送出しない設定を行なっている場合、2)Webサーバーにリバースプロキシなどが導入された結果、ユーザーに見える「update.rb」のURLと、サーバーの認識するURLが一致しない場合、3)今回の対策に対応しないブラウザ以外のクライアントを使っている場合――といったケースだ。なお、こうしたケースに該当するユーザー向けにtDiary.orgでは、Webサイト上に解説を掲載している。


関連情報

URL
  tDiaryにおけるクロスサイト・リクエスト・フォージェリの脆弱性(JVN)
  http://jvn.jp/jp/JVN%2360776919/
  tDiary 2.0.2、2.1.2リリース(tDiary.org)
  http://www.tdiary.org/20050721.html
  tDiaryの脆弱性に関する報告(tDiary.org)
  http://www.tdiary.org/20050720.html

関連記事
SSIインジェクションやCSRFなどの新たな問題も~IPAの脆弱性届出状況(2005/04/19)
プラグインで機能拡張できるブログ作成ツール「tDiary 2.0.0」(2004/06/28)


( 鷹木 創 )
2005/07/21 13:41

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.