imgboard におけるクロスサイトスクリプティングの脆弱性について   no comments

Posted at 2:57 pm in internet,Security,XSS

こんにちは。もはや2月ですね。

相変わらずわたくしの方はゴロゴロと家の中を転がったりネコを愛でたりしています。たまには外に出てお友達に遊んでもらったりもしていますが、たまに原稿を書くほかは貯金を食いつぶす毎日でございます。

cats_2013-02-13_6

最近一番仲のいいお友達

で、それはいいとして14日にJVNから「imgboard におけるクロスサイトスクリプティングの脆弱性」という情報が公開されました。なんか見覚えあるなあと思ったら自分の名前も載っていました。東内です。ああそういえば結構前に報告してとっくに修正されてたあれだー。

他の人の名前も載っているので、(2人の報告が重なっていなければ)全部の解説とはならないと思いますが、覚えている範囲でこのimgboardの脆弱性と、何で今頃情報公開されたのか想像して書こうと思います。

●脆弱性の詳細
反射型のXSS脆弱性です。
XSSフィルタの動作していないデフォルトのFirefoxのようなブラウザーをユーザーが使用している場合、
(Cookieに管理者パスワードを保存する設定になっていた場合)
管理者パスワードが詐取される危険性があります。
あと偽ページが表示されたり任意のサイトに誘導される危険があります。

imgboard 1.22R6.1sまでは3つのパラメーター
imgboard 1.22R6.1uまでは2つのパラメーターに存在してました。

心配ならアップデートしましょう。

imgboardのXSS

imgboardのXSS

●経緯
2011年11月 1.22R6.1sにXSS発見。IPAに届け出
2012年4月 修正版(1.22R6.1u)を偶然発見、別のXSSを見つけたので作者に直接連絡し返事をもらう
2012年5月 IPAに新たな修正版が公開されていることを連絡(←この時点ですでに安全ですよ)
2012年12月 IPA、なぜか連絡不能開発者一覧に掲載
2012年12月 メールで連絡取り合えるのに何で?とIPAに連絡
2012年12月 一覧から削除
2013年2月 2013年最初の(僕のね)CVE公開

●脆弱性報告者へのメモ
・このケースを含め、IPAはアプリが修正されたかどうかの積極的なチェックは行ってないと思います。
・アプリ開発者からの報告がないと、修正された旨の連絡はこちらに行ってくれないみたいなので、報告したアプリが修正されたかどうかは自分でチェックして、IPAに「修正されたけどどうなってる?」と働きかけた方がいい気がします。
・連絡しても「修正内容確認した?」って返事が来ることもあるので確認面倒です。
・報告しても焼肉は食べれません

こんなかんじで、報告して忘れたころに公開されることもあるので、報告者の人はイライラせずに気長に待ってあげましょうね。影響範囲がだだっ広いAdobe ReaderとかJavaとかのゼロデイ対応に忙しいんですよきっと。

Written by bogus on 2月 15th, 2013