Hiki Advisory 2005-07-14

Hiki Development Team

2005-07-14

I. 概要

Ruby で実装された Wiki エンジンの一種である Hiki において、クロスサイト・リクエスト・フォージェリの問題が発見されました。悪意あるユーザが、特殊なURL や外部ウェブページを生成することで、凍結されたページの編集や Hiki の設定の変更などの操作を、ログイン中のユーザに不正に行わせることができる可能性があります。

II. 対象

この問題が存在する Hiki は、以下のバージョンです。

• Hiki 0.8.0

III. 問題点

Hiki 0.8.0 では、編集権限の判別や管理者の識別のためにクッキーを用いた認証を行っており、ページの保存や設定の変更時にはクッキーに含まれたセッションID でユーザを確認するようになっています。しかし、その際に発生するのと同様のクエリーを持つ URL にログイン中のユーザがアクセスするように誘導された等の場合、セッション ID を含んだクッキーがサーバに送信されるため、ログイン中のユーザによる正規の処理として実行される危険性がありました。

IV. 修正点

Hiki 0.8.1 では、編集画面および設定画面において、攻撃者が知り得ないセッション ID をフォームに含め、ページの保存や設定の変更時にその値をチェックすることでこの問題に対処しました。

V. 対策

Hiki 開発チームでは、この問題への対策を施したバージョンとして 0.8.1 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などをご検討ください。詳細については、各ベンダや配布元の提供する最新情報や関連文書をご参照ください。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

• Hiki Official Site http://hikiwiki.org/
• 高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ (CSRF) の正しい対策方法 http://takagi-hiromitsu.jp/diary/20050427.html#p01
• 用語「CSRF」@鳩丸ぐろっさり (用語集) http://bakera.jp/hatomaru.aspx/glossary/0043005300520046
• Cross-Site Request Forgeries (Re: The Dangers of Allowing Users to Post Images) http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00216.html

[改定履歴]

:2005/07/14 1.0 <http://hikiwiki.org/ja/advisory20050714.html>:最初の公開バージョン。