Hiki -Front Page-  Index  Search  Changes  Login

Hiki Advisory 2005-07-14

 English version may be found at http://hikiwiki.org/en/advisory20050714.html.

Hiki の脆弱性に関する報告

Hiki Development Team

2005-07-14

I. 概要

Ruby で実装された Wiki エンジンの一種である Hiki において、クロスサイト・リクエスト・フォージェリの問題が発見されました。悪意あるユーザが、特殊なURL や外部ウェブページを生成することで、凍結されたページの編集や Hiki の設定の変更などの操作を、ログイン中のユーザに不正に行わせることができる可能性があります。

II. 対象

この問題が存在する Hiki は、以下のバージョンです。

  • Hiki 0.8.0

III. 問題点

Hiki 0.8.0 では、編集権限の判別や管理者の識別のためにクッキーを用いた認証を行っており、ページの保存や設定の変更時にはクッキーに含まれたセッションID でユーザを確認するようになっています。しかし、その際に発生するのと同様のクエリーを持つ URL にログイン中のユーザがアクセスするように誘導された等の場合、セッション ID を含んだクッキーがサーバに送信されるため、ログイン中のユーザによる正規の処理として実行される危険性がありました。

IV. 修正点

Hiki 0.8.1 では、編集画面および設定画面において、攻撃者が知り得ないセッション ID をフォームに含め、ページの保存や設定の変更時にその値をチェックすることでこの問題に対処しました。

V. 対策

Hiki 開発チームでは、この問題への対策を施したバージョンとして 0.8.1 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などをご検討ください。詳細については、各ベンダや配布元の提供する最新情報や関連文書をご参照ください。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

[改定履歴]

2005/07/14 1.0 <http
//hikiwiki.org/ja/advisory20050714.html>:最初の公開バージョン。
Last modified:2005/07/14 12:35:34
Keyword(s):
References:[Hiki -Front Page-]
This page is frozen.