Hiki Advisory 2005-08-04

Hiki Development Team

2005-08-04

I. 概要

Ruby で実装された Wiki エンジンの一種である Hiki において、クロスサイト・スクリプティングの問題ならびに設定ファイルが消える可能性のある不具合が発見されました。 悪意あるユーザが JavaScript 等のスクリプトコードを埋め込むようなページ編集を行った場合、ログイン中のユーザのセッションIDが詐取されたり、設定を不正に変更されたりする可能性があります。

II. 対象

この問題に関して、下記のバージョンについて確認しました。

Hiki 0.8.0 - 0.8.2

問題あり

Hiki 0.6.6

問題なし

III. 問題点

Hiki 0.8.0 - 0.8.2 では、存在しないページを参照した際に新規作成を促すページを返しますが、そのページ内でページ名のエスケープが洩れていたために JavaScript 等のスクリプトコードを埋め込むことが可能になっていました。

Hiki 0.8.1 - 0.8.2 では、ログインへのリンクの中に閲覧中のページを含めていますが、そのページ名のエスケープが洩れていたために JavaScript 等のスクリプトコードを埋め込むことが可能になっていました。

また、Hiki 0.8.0 - 0.8.2 では、管理画面で設定保存時に送られるクエリーによっては設定ファイルが消える不具合があります。 そのため悪意あるユーザが、上述のクロスサイト・スクリプティング脆弱性を用いてセッション ID を詐取した上で、この不具合を悪用することにより、パスワードの変更も含めて設定を不正に変更できる危険があります。

IV. 修正点

Hiki 0.8.3 では、新規作成を促すページおよびログインへのリンクについてページ名をエスケープし、また設定保存時のクエリーによっては設定ファイルが消える不具合を修正することでこれらの問題に対処しました。

V. 対策

Hiki 開発チームでは、この問題への対策を施したバージョンとして 0.8.3 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などをご検討ください。詳細については、各ベンダや配布元の提供する最新情報や関連文書をご参照ください。

VI. 謝辞

本脆弱性情報は、外部の方からの情報セキュリティ早期警戒パートナーシップによる報告に基づき、JPCERT/CCがベンダとの調整を行いました。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

• JVN#38138980 Hiki におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2338138980/
• Hiki Official Site http://hikiwiki.org/

[改定履歴]

2005/08/04 1.0 <http

//hikiwiki.org/ja/advisory20050804.html>:最初の公開バージョン。