パスワードを忘れた? アカウント作成
13716 story

XOOPSにSession Fixationの脆弱性? 開発者は脆弱性でないと判断 41

ストーリー by mhatta
どっちなんだろ 部門より

Anonymous Coward曰く、"IPAの「ソフトウエア等の脆弱性関連情報に関する届出状況」を見たところ、XOOPSに関する記述がありました。

今期、製品開発者により脆弱性でないと判断された届出として、「XOOPS において、セッションID の固定化(Session Fixation)が可能」というものがありました。「セッションID の固定化」を防止するには、ウェブアプリケーション(「XOOPS」など)を修正する方法と、それ以外の部分で対処する方法があります。本届出は、製品開発者により脆弱性ではないと判断されましたが、「XOOPS」は、第三者がセッションID を固定できないようプログラムが変更されましたので、ウェブサイトの管理者はアップデートしてください。
脆弱性ではないと判断されたとのことですが、XOOPSの修正もされているようです。JVNにも載ってなく、バージョンの情報が書いてないのでよくわからないのですが、XOOPS 2.0.16a JPリリースがそれでしょうか。"
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 分かりにくい? (スコア:4, すばらしい洞察)

    by phpoobar (26216) on 2006年10月23日 11時45分 (#1042927) ホームページ 日記
    XOOPS 2.0.16a JPリリース
    本リリースは、XOOPS 2.0.X JPシリーズ利用者向けのメンテナンスリリースです。サーバー環境設定等に起因する既知のセキュリティ上の問題への予防策が追加されています。変更点の詳細は「更新履歴」をご覧ください。

     「更新履歴」がどこか分からないけれど、このページの下の方にある「変更履歴」かな。そこには、
    セッション管理の強化(session_regenerate_id())
    サーバーの設定に不備があった場合に、セッション固定攻撃によるセッションハイジャックが行われる可能性に対しての予防措置(※)。

    - include/checklogin.php
    - include/session.php
    - (extras)/login.php

    ※ このアップデートにより、PHPの環境設定などサーバーの設定に不備があった場合の問題を一部回避出来る可能性がありますが、環境設定に不備のあるサーバーでのWebアプリケーションの利用が推奨されるものではありません。Webサイト運用上のセキュリティリスク軽減のためには、XOOPSのアップデートだけではなく、Webサイトの環境設定に問題がないか、十分ご注意ください。

    とあります。session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。いずれにしても、どういうサーバー環境設定が危ないのか明示してくれると、皆さん楽チンだと思います。ガーベジコレクション?

       別にXoops使いじゃないけど。
    --
    --- Dead Poet Social Club
    • by Anonymous Coward
      XOOPS Cubeのバグ情報ってどこにあるんだろ?ここ [osdn.jp]とかここ [osdn.jp]に載っているべきだと思うのだが。
    • by Anonymous Coward
      session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。
      古いほうのセッションを破棄しないのは、Session Fixation という点ではとくに問題ないですよね?
  • by kjm (1606) on 2006年10月23日 15時55分 (#1043100) ホームページ
    XOOPSにSession Fixationの脆弱性? 開発者は脆弱性でないと判断 [ryukoku.ac.jp]。変な事を書いているようだったら、おしえてください。_o_
  • by Anonymous Coward on 2006年10月23日 11時48分 (#1042933)
    XOOPS 2.0系からフォークして日本人の開発者がメインでメンテナンスしているのが、XOOPS 2.0.x-JPです。

    XOOPSに脆弱性があっても、XOOPS 2.0.x-JP系に脆弱性がない場合があります。
  • Session Fixationってなに? (スコア:2, すばらしい洞察)

    by tnk (13707) on 2006年10月23日 14時06分 (#1043042)
    この記事の目新しい点は「XOOPSに脆弱性」の部分ではなく,「Session Fixation」という耳慣れないWebアプリの脆弱性がクローズアップされた,というとこだと思うんだが。

    というわけでリンク
    用語「セッション固定攻撃」 [bakera.jp]
    • by little( (31297) on 2006年10月23日 16時34分 (#1043126) ホームページ 日記

      1.攻撃者がシステムにアクセスし、セッション ID を取得する。ログインしていないがセッション ID は発行される。
      2.攻撃者は、正規ユーザがそのセッション ID を使ってログインするように仕向ける
      3.正規ユーザがそのセッション ID でログインすると、そのセッションは「ログイン済み」となる

      これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?
      セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。
      それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
      親コメント
      • by yu_raku (419) on 2006年10月23日 17時00分 (#1043144)
        「2」についてはURLにセッションキーを含ませることができる作りになっているとやられてしまいますね。
        DocomoはCookieが使えないから、i-mode対応を謳うログインの必要なサービスは危ないところが多いと思います。
        まぁ、この場合はXoopsでの対応のようにログイン時にセッションキーを変えてしまう方法で防ぐことはできるでしょう。
        親コメント
      • これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?
        セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。
        それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
        仮に現在「2」が防げているとしても、新たな攻撃手法が見つかるとその時点でアウトなので、
        そもそも「1」のような事象を発生させないことがポイントでは?
        # 考え方としてはfail-safenessを持つ方に振るべきだと

        …とはいえ、端末/アプリの仕様や使い勝手やユーザーのスキル等々の(時として訳の分からない)理由により、
        事前にセッションIDを発行する(せざるを得ない)ケースもありますよね…

        かなり既知でしょうが、高木氏の「安全なWebアプリ開発の鉄則 2004」から
         http://www.soi.wide.ad.jp/class/20040031/slides/10/33.html [wide.ad.jp]
        親コメント
      • > それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?

        そうです。Firefox使いはアウトです。
        IE を使いましょう。
      • 3が脆弱性本体で、2が攻撃方法です。

        で、その攻撃方法としてよく挙げられるのが下記の脆弱性を利用したものなので、脆弱性に脆弱性が絡んで話がややこしくなるというわけです。

        ・URLからセッションIDを指定する(フレームワークなどのSession Adoption脆弱性)
        ・広範囲のドメインにばら撒かれるクッキーを使う(ブラウザのCookie Monsterバグ)
    • 決して目新しいとは思えませんが。しかし、対処に関してはなかなか難しいですね。

      Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか [takagi-hiromitsu.jp]

      しかし、なんとグダグダな問題なんだ……
      親コメント
    • 「セッションハイジャック」になりうる…というのはその通りだとは思うが、こういうのは、江戸時代だったら
      ひきこみ
      って言うんじゃない?

      # 時代劇を見ているのでAC
  • XOOPSはやばい (スコア:1, 興味深い)

    by Anonymous Coward on 2006年10月23日 19時04分 (#1043206)
    XOOPSの開発陣は素直に脆弱性を認められないMSみたいな人たちってことでは?
    そういのは使わないほうがよさそうです。

    セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。

    投稿者: GIJOE 投稿日時: 2006-08-01 06:13:28 (1177 ヒット)
    これ、実際に経験してみれば判ることですが、ほとんど成功しない攻撃です。しかも、
    session.use_only_cookies 1
    は推奨設定です。
    こんなのを今さら「XOOPSの脆弱性」として連絡してくるあたり、JPCERTという組織のレベルの低さを証明しているわけですが、ちゃんと対応するコアチームは素直に偉いと思います。
    レベルが低いのはお前だろ!
    というわけで、急いで2.0.16-JPにアップデートする必要はありません。元々がおかしな報告だったのですから、session.use_only_cookies 1 であることを確認した上で、2.0.15-JPのまま運用するのが良いでしょう。
    こんな人たちの製品は危なくて使えません。
    • Re:XOOPSはやばい (スコア:1, 参考になる)

      by Anonymous Coward on 2006年10月23日 22時35分 (#1043340)
      これはXOOPSの脆弱性と言うより有名なPHPの脆弱性では。 ここ [ohgaki.net]とかに書いてあります。 今のソースならsession.use_only_cookies=1にしないと脆弱になる、とソースについてくるphp.ini-*にも記載されています。
      ; This option enables administrators to make their users invulnerable to
      ; attacks which involve passing session ids in URLs; defaults to 0.
      ; session.use_only_cookies = 1
      親コメント
      • Re:XOOPSはやばい (スコア:1, 参考になる)

        by Anonymous Coward on 2006年10月23日 23時05分 (#1043379)
        > これはXOOPSの脆弱性と言うより有名なPHPの脆弱性では。

        違いますよ。session.use_only_cookies=1 にしても脆弱です。
        ウェブブラウザは何使ってますか?

        タレコミのIPAの資料 [ipa.go.jp]の脚注に書かれている通りです。

        ウェブアプリケーション側で対処しない場合は、「Cookie Monster」と呼ばれるドメインをまたがったCookie のセットができてしまう問題を抱えたブラウザ(Mozilla、Firefox などが該当)をそのウェブアプリケーションの ログインに使用しないようにする必要があります。また、加えて、ウェブアプリケーションサーバ製品に「セッシ ョンID の固定化」の脆弱性がある場合には、パッチを適用するか、設定で回避する必要があります。
        これらは or ではなくて、and ですね。
        親コメント
        • by Anonymous Coward
          それぞれ単体では脆弱性にはならんのだよね?
          そして、それぞれが、何かのミスによる物でもない。
          相性が悪いという程度の事。

          なのに、なぜ、XOOPSだけが責められているのだろう?
          見方を変えれば、Cookie Monsterの脆弱性と言えるのでは?
    • by Anonymous Coward
      GIJOEは関係者でも開発者でもないでしょ。 こういう本は書いてるみたいだけど。 http://www.digical.co.jp/php_cyber.html [digical.co.jp]
    • 前に高木さんに批判されてたような
    • by Anonymous Coward
      「XOOPSの開発陣」って実際のところ何人いるんだろ。本家からフォークした後は結局日本人仲良し数人で回してるって感じ?
      • by Anonymous Coward
        メインはminahito氏を筆頭に日本人が多いけど、
        海外の人も結構いますよ。αやβを試用してレポートで
        貢献してる層はむしろ海外>日本ではないかと。
        (中の人じゃないので外から見える範疇での話しだけど)
  • by Anonymous Coward on 2006年10月23日 11時55分 (#1042941)
    本家XOOPS [xoops.org]とforkのXOOPS Cube [xoops.org]がありますが、どっちの事なんでしょうか。XOOPSとだけ書かれてたら本家を指す?それとも両方?

    日本ではXOOPSといえばXOOPS Cube?
  • 耐震偽装と同じ (スコア:0, オフトピック)

    by Anonymous Coward on 2006年10月23日 12時12分 (#1042952)
    こんなの氷山の一角。

    XOOPS側のフレームワークを無視して勝手にMySQLにしか互換性のないSQLを吐くプラグインがごまんとあるんだぜ。

    後は言わなくても分かるよな?
  • 載ってなく? (スコア:0, オフトピック)

    by Anonymous Coward on 2006年10月23日 13時33分 (#1043019)
    何語ですか。
    日本語は正しく。
    「載っておらず」
  • by Anonymous Coward on 2006年10月23日 13時52分 (#1043028)
    前のPukiWikiも同じだけど。
    最近はトップにもタイトルだけ載るし、それ見て興味ある人は読むから。
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...