[tuigwaa-user:392] Tuigwaa 1.0.4 以前の脆弱性について

2007年 8月 27日 (月) 12:27:11 JST

染田です。

Tuigwaa 1.0.4 以前には、クロスサイトスクリプティング
脆弱性を有します。

1.0.4 以前をご利用の方は後述の解決策、もしくは
回避策のほうの検討を推奨いたします。

また、内容は以下のサイトでも確認可能です。

  http://www.escafe.org/main/Security

# JPCERT/CC でも情報公開予定ですが、現時点では
# 以下の URL は未公開です。

以上、よろしくお願いいたします。

----- (ここから) -----

1. 脆弱性概要
  クロスサイトスクリプティングにより、第三者による
  サイト内容の書き換えや、ユーザ情報の漏洩が発生する
  可能性がある。

2. 該当のバージョン
  Tuigwaa 1.0 - 1.0.4

2.1 確認方法
  Tuigwaa をインストールしたサイトにて Tuigwaa Manager に
  アクセスし、サイトの左下に表示されるバージョン
  もしくは
  Tuigwaa をインストールしたディレクトリを $TUIGWAA_INSTALL_PATH
  とし
  $TUIGWAA_INSTALL_PATH/WEB-INF/classes/tuigwaa.properties
  内の system.version の値で示されるバージョン

3. 影響範囲
  Tuigwaa サイトの運営者の意図しない情報を表示する可能性及び、
  Tuigwaa サイトユーザの情報漏洩が発生する可能性がある。

4. 対応方法
  4.1 解決策
    Tuigwaa 1.0.5 にバージョンアップする。
  4.2 回避策
   Tuigwaa で作成するサイトを「セキュリティ」で保護し、
   かつ「未承認の人も一部ページを見ることが可能」のチェックを
   しない。
   「未承認の人も一部ページを見ることが可能」のチェックを
    つける際には、2.1 で記述した tuigwaa.properties 内の
　 option.nopage.create を false に設定する

5. 関連情報
  http://jvn.jp/jp/JVN%2382276964/index.html

6. 謝辞
  本脆弱性を報告頂いた株式会社セキュアスカイ・テクノロジー様及び、
  本脆弱性の発生を未然に防ぐべくご尽力頂いた JPCERT/CC
  関係者の皆様に感謝いたします。

----- (ここまで) -----

-- 
…ユーザ主導でシステム開発! http://labs.4dd.co.jp/webtech/Tuigwaa/ …
--
染田貴志/SOMEDA Takashi
株式会社四次元データ Web技術研究部
Email: [E-MAIL ADDRESS DELETED] Tel.: 050-5527-7945