Hiki Alert 2004-06-21
Hiki の脆弱性に関する注意喚起
Hiki Development Team
2004-06-21
I. 概要
Ruby で実装された Wiki エンジンの一種である Hiki に、深刻な脆弱性が発見されました。結果として、遠隔から第三者が Hiki の CGI プログラムを実行しているユーザ権限を取得する可能性があります。また、クロスサイトスクリプティング脆弱性も存在します。この問題は、対策済みのパッケージに更新する、もしくは Hiki 0.6.4 以降 (および CVS 版の 0.7-devel-20040618 以降) に更新することで解決します。
[重要] 上記のバージョンでの修正においても、一部の脆弱性が残っていました。詳しくは http://hikiwiki.org/ja/alert20040628.html をご覧ください。
II. 対象
この問題が存在する Hiki は、以下のバージョンです。
- Hiki: バージョン 0.6.3 以前の全てのバージョン
なお、今回の脆弱性は Hiki 本体の問題であり、使用しているスタイルやプラグインに関らず脆弱性が存在しますのでご注意ください。
III. 解決方法
Hiki の開発チームでは、問題への対策を施したバージョンとして 0.6.4 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などを至急ご検討ください。詳細については、各ベンダや配布元の提供する最新情報や関連文書をご参照ください。
[関連文書]
※ 随時更新されていますので最新版をご確認ください。
- Hiki Official Site http://hikiwiki.org/
- Lazy Diary (2004-06-21) http://www.namaraii.com/diary/?date=20040621
- ふぇみにん日記 (2004-06-21) http://kazuhiko.tdiary.net/20040621.html
[改定履歴]
:2004/06/21 1.0 <http://www.namaraii.com/hiki/alert20040621.txt.1.0>:最初の公開バージョン。 :2004/06/21 1.1 <http://www.namaraii.com/hiki/alert20040621.txt.1.1>:取得されるユーザ権限についてより正確に記述。CVS 版の対応状況について加筆。 :2004/06/21 1.2 <http://www.namaraii.com/hiki/alert20040621.txt.1.2>:Hiki 本体の問題である旨を明記。改定履歴の追加。 :2004/06/28 1.3 <http://www.namaraii.com/hiki/alert20040621.txt.1.3>:0.6.4 (および 0.7-devel-20040618) での修正が不十分だったため、新しい注意喚起についての言及を追加。 :2005/07/05 1.4 <http://hikiwiki.org/ja/alert20040621.html>:URI の変更
Keyword(s):
References: