Hiki Advisory 2006-07-03

Hiki Development Team

2006-07-03

I. 概要

Ruby で実装された Wiki エンジンの一種である Hiki に、DoS 攻撃を許す脆弱性が発見されました。 悪意あるユーザによるページ編集の結果、サーバの負荷が高まり、アクセス不能となる可能性があります。

II. 対象

この問題に関して、下記のバージョンについて確認しました。

Hiki 0.6.0 - 0.6.6, 0.8.0 - 0.8.5

問題あり

III. 問題点

現在、Hiki が用いている差分取得アルゴリズムは、最大で O(n**2) の計算量を要します。 このため、ページの状態によっては、差分を求める処理に極めて長い時間を要する場合があります。

これまでの Hiki の実装では、差分取得に長い時間がかかる場合を特に考慮していなかったため、処理に長い時間がかかる場合、サーバの資源を長期に渡って消費することとなります。

IV. 修正点

Ruby の timeout ライブラリを用いて、Hiki がリクエストを処理する時間に制限を加えました。 時間の制限は、デフォルトでは 30 秒となっています。 この秒数は、設定ファイル hikiconf.rbの @timeout 変数にて変更可能です。

V. 対策

Hiki の開発チームでは、問題への対策を施したバージョンとして 0.8.6 を公開しています。 パッケージの更新を至急ご検討ください。

VI. 謝辞

本脆弱性情報は、産業技術総合研究所の田中哲様からの情報セキュリティ早期警戒パートナーシップによる報告に基づき、JPCERT/CCがベンダとの調整を行いました。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

• JVN#98836916 複数のWiki クローン製品におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/jp/JVN%2398836916/
• Hiki Official Site http://hikiwiki.org/

[改定履歴]

:2006/07/03 1.0 <http://hikiwiki.org/ja/advisory20060703.html>:最初の公開バージョン。