Hiki Advisory 2007-06-24

Hiki Development Team

2007-06-24

I. 概要

Ruby で実装された Wiki エンジンの一種である Hiki に、任意のファイルを削除できる脆弱性が発見されました。 悪意あるユーザが特殊なリクエストを送信することによって、Hiki 実行権限で削除可能な任意のファイルを削除できる可能性があります。

II. 対象

この問題に関して、下記のバージョンについて確認しました。

Hiki 0.8.0 - 0.8.6

問題あり

III. 問題点

Hiki では、セッション ID をファイル名とするファイルを作成し、セッション管理を行なっています。 このセッションファイルは、ログアウト時にセッション ID をファイル名として、削除されています。

このとき、セッション ID が 正規表現 /[0-9a-f]{16}/ にマッチすることによって セッション ID フォーマットの確認を行なっていましたが、この正規表現は セッション ID フォーマットの確認としては不適切であったため、 パス区切り文字を含むようなセッション ID を指定することが可能になっていました。

このようなパス区切り文字を含むセッション ID を送信することによって、 Hiki 実行権限が削除可能な任意のファイルを削除できる可能性があります。

IV. 修正点

セッション ID が、16 進数表記の文字のみから成ることをチェックするように修正しました。

V. 対策

Hiki の開発チームでは、問題への対策を施したバージョンとして 0.8.7 を公開しています。 パッケージの更新を至急ご検討ください。

また、本脆弱性を修正する、バージョン 0.8.6 への差分ファイルも公開しています。 バージョン 0.8.7 への更新が困難な場合には、バージョン 0.8.6 に対して差分ファイルを適用してください。

VI. 謝辞

本脆弱性情報は、西山和広様からの情報セキュリティ早期警戒パートナーシップによる報告に基づき、JPCERT/CCがベンダとの調整を行いました。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

• Hiki Official Site https://hikiwiki.org/

[改定履歴]

2007/06/24 1.0 < http

//hikiwiki.org/ja/advisory20070624.html >:最初の公開バージョン。