XOOPSにSession Fixationの脆弱性? 開発者は脆弱性でないと判断 41
ストーリー by mhatta
どっちなんだろ 部門より
どっちなんだろ 部門より
Anonymous Coward曰く、"IPAの「ソフトウエア等の脆弱性関連情報に関する届出状況」を見たところ、XOOPSに関する記述がありました。
脆弱性ではないと判断されたとのことですが、XOOPSの修正もされているようです。JVNにも載ってなく、バージョンの情報が書いてないのでよくわからないのですが、XOOPS 2.0.16a JPリリースがそれでしょうか。"今期、製品開発者により脆弱性でないと判断された届出として、「XOOPS において、セッションID の固定化(Session Fixation)が可能」というものがありました。「セッションID の固定化」を防止するには、ウェブアプリケーション(「XOOPS」など)を修正する方法と、それ以外の部分で対処する方法があります。本届出は、製品開発者により脆弱性ではないと判断されましたが、「XOOPS」は、第三者がセッションID を固定できないようプログラムが変更されましたので、ウェブサイトの管理者はアップデートしてください。
分かりにくい? (スコア:4, すばらしい洞察)
「更新履歴」がどこか分からないけれど、このページの下の方にある「変更履歴」かな。そこには、
とあります。session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。いずれにしても、どういうサーバー環境設定が危ないのか明示してくれると、皆さん楽チンだと思います。ガーベジコレクション?
別にXoops使いじゃないけど。
--- Dead Poet Social Club
Re:分かりにくい? (スコア:0)
Re:分かりにくい? (スコア:0)
まとめてみました (スコア:4, 参考になる)
Re:まとめてみました (スコア:1)
http://www.xugj.org/ [xugj.org] と http://xoopscube.jp/ [xoopscube.jp] の関係って?
XOOPS使いではありませんが、PHP使いなので情報は知っておいた
方が何かと都合が良いですからね。
--- Dead Poet Social Club
Re:まとめてみました (スコア:1)
XOOPS2系とXOOPS系-JPは別物です (スコア:2, 参考になる)
XOOPSに脆弱性があっても、XOOPS 2.0.x-JP系に脆弱性がない場合があります。
Session Fixationってなに? (スコア:2, すばらしい洞察)
というわけでリンク
用語「セッション固定攻撃」 [bakera.jp]
Re:Session Fixationってなに? (スコア:2, 参考になる)
これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?
セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。
それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
Re:Session Fixationってなに? (スコア:2, 参考になる)
DocomoはCookieが使えないから、i-mode対応を謳うログインの必要なサービスは危ないところが多いと思います。
まぁ、この場合はXoopsでの対応のようにログイン時にセッションキーを変えてしまう方法で防ぐことはできるでしょう。
Re:Session Fixationってなに? (スコア:1)
そもそも「1」のような事象を発生させないことがポイントでは?
# 考え方としてはfail-safenessを持つ方に振るべきだと
…とはいえ、端末/アプリの仕様や使い勝手やユーザーのスキル等々の(時として訳の分からない)理由により、
事前にセッションIDを発行する(せざるを得ない)ケースもありますよね…
かなり既知でしょうが、高木氏の「安全なWebアプリ開発の鉄則 2004」から
http://www.soi.wide.ad.jp/class/20040031/slides/10/33.html [wide.ad.jp]
Re:Session Fixationってなに? (スコア:0)
そうです。Firefox使いはアウトです。
IE を使いましょう。
Re:Session Fixationってなに? (スコア:0)
で、その攻撃方法としてよく挙げられるのが下記の脆弱性を利用したものなので、脆弱性に脆弱性が絡んで話がややこしくなるというわけです。
・URLからセッションIDを指定する(フレームワークなどのSession Adoption脆弱性)
・広範囲のドメインにばら撒かれるクッキーを使う(ブラウザのCookie Monsterバグ)
Re:Session Fixationってなに? (スコア:1)
Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか [takagi-hiromitsu.jp]
しかし、なんとグダグダな問題なんだ……
Re:Session Fixationってなに? (スコア:0)
って言うんじゃない?
# 時代劇を見ているのでAC
XOOPSはやばい (スコア:1, 興味深い)
そういのは使わないほうがよさそうです。
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
レベルが低いのはお前だろ! こんな人たちの製品は危なくて使えません。Re:XOOPSはやばい (スコア:1, 参考になる)
Re:XOOPSはやばい (スコア:1, 参考になる)
違いますよ。session.use_only_cookies=1 にしても脆弱です。
ウェブブラウザは何使ってますか?
タレコミのIPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
これらは or ではなくて、and ですね。Re:XOOPSはやばい (スコア:0)
そして、それぞれが、何かのミスによる物でもない。
相性が悪いという程度の事。
なのに、なぜ、XOOPSだけが責められているのだろう?
見方を変えれば、Cookie Monsterの脆弱性と言えるのでは?
Re:XOOPSはやばい (スコア:0)
で、どうすればいいの?
Re:XOOPSはやばい (スコア:0)
そして、Xoopsはそういう対応をした。
以上。
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
じゃだめなのかな。
RFCみたら返すときにドメインも一緒に返すように見えたんだけど。
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
私も持っていますが、攻撃を煽るような書き方があって危険な香りがします。
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
海外の人も結構いますよ。αやβを試用してレポートで
貢献してる層はむしろ海外>日本ではないかと。
(中の人じゃないので外から見える範疇での話しだけど)
XOOPSってどっちだ (スコア:0)
日本ではXOOPSといえばXOOPS Cube?
耐震偽装と同じ (スコア:0, オフトピック)
XOOPS側のフレームワークを無視して勝手にMySQLにしか互換性のないSQLを吐くプラグインがごまんとあるんだぜ。
後は言わなくても分かるよな?
Re:耐震偽装と同じ (スコア:0)
Re:耐震偽装と同じ (スコア:0)
載ってなく? (スコア:0, オフトピック)
日本語は正しく。
「載っておらず」
Re:「モヒカン族」 (スコア:0)
Re:「モヒカン族」 (スコア:1, おもしろおかしい)
「おまけこそスルー力が足りないぞ」と言われるような気もするAC
Re:「モヒカン族」 (スコア:0)
それをいうなら「おまえこそ」でしょ。
アッ!ツラレチャッタ・・・
Re:「モヒカン族」 (スコア:0)
Re:「モヒカン族」 (スコア:0)
って、編集者のotsuneさん?
セクションローカルでいいのでは (スコア:0)
最近はトップにもタイトルだけ載るし、それ見て興味ある人は読むから。