tDiaryの脆弱性に関する報告(2010-02-25)
Web日記支援システムtDiaryにおいて、クロスサイトスクリプティング(XSS)脆弱性が発見されました。脆弱性が発現する環境が限定的なので、以下の説明を読み、対象の環境をお使いの方は早急な対応をお願いします。
対象
この問題が存在するtDiaryは以下のバージョンです。
- tDiary 2.2.2 およびそれ以前 (フルセットおよびプラグイン集)
上記バージョンのtDiaryを使い、さらに以下の条件をすべて満たした場合に発生します。
- tb-send.rbプラグインが有効になっている
- Microsoft Internet Explorer 7 (IE7)を使っている
- (トラップとなるURLを経由して)日記を更新する
問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確認していません)。Firefox、Opera、Safariなどの主要なブラウザでは発生しておりません。
また、tDiary 2.2に特有の問題であり、tDiary 2.3では発生しません。さらに、tb-send.rbプラグイン(TrackBack送信プラグイン)が有効になっている場合のみに発生します。
想定される影響
悪意ある第三者が特殊なURLや外部ウェブページを生成することで、日記更新者のブラウザ上にて任意のスクリプトを実行される可能性があります。
なお、脆弱性があるのは日記管理者のみがアクセスできる更新画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。
対策
tDiary開発プロジェクトでは、対策を実施した以下のバージョンおよびパッチを公開しています。
- tDiary 2.2.3 (安定版) リリースノートを参照
または以下のいずれかの対策でも問題の発生を防ぐことができます。
- tb-send.rbを無効にする(TrackBackの送信ができなくなります)
- tb-send.rbを最新版にする(→最新版ソース)
謝辞
本脆弱性情報は、下記の方からIPA経由で報告を受け、対応しました。ご協力に感謝します。
株式会社ユービーセキュア プロジェクトVEX