ホーム > フォーラム > 開発 > モジュール開発 > モジュールの脆弱性

モジュールの脆弱性
投稿者: Marijuana | 投稿日時: 2005/11/6 3:37 | 閲覧: 59575回
Marijuana
内容が内容ですので、MLに残らないようにさせて頂きました。
問題があるようでしたら、削除してください。

以下のモジュールに脆弱性がありますので、使用する方は十分気をつけて使用して下さい。
また、基本的に脆弱性の動作を確認してはいますが、全ての環境で起こるとは保証出来ません。

SQL Injection可能なモジュール
eguide 1.6.8
bookmark 1.00
alumni 2.0
jobs 1.9
myAds 2.04
popnupblog 2.21
XoopsHP 1.05
※テーブルのprefixを変更することで、防ぐことが出来ます(完全ではありません)
※他にもSQL Injection出来るモジュールがありますが、俺が攻撃方法解りませんので載せません。

XSSが仕掛けられるモジュール
amaxoop2 0.991
iDiary 1.08
※管理者でアクセスするときはJavaScriptをOffにすることで防ぐことが出来ます(完全ではありません)

ローカルファイル削除(cgi版では致命的)
xnshop 0.86
※cgi版では使わないこと以外、対処方法がありません。


一つでも脆弱性のあったモジュールは、他の脆弱性を調べてません。
また、全てのモジュールを調べた訳では無いので、ここに無いから安全ではありません。

作者に連絡をすべきなのでしょうが、あまりに多く(確率)のモジュールで脆弱性があり、
個別に連絡なんて面倒なので、ここでまとめて報告です。
こんな程度の脆弱性で0dayもないと思いますし・・・

プログラムが本職でない俺に解るぐらいの脆弱性ですので、
モジュール作者の方は、セキュリティ対策など全く気にも留めてないのでしょうか?

XOOPSのコアがどんなにセキュアになろうとも、モジュールがこんなんでは、無意味ですね。
もう、いっそうのこと、ダウンロード無くしません?

時間があれば、もっと調べますが全てを一人で調べるのは時間が掛かりますので、
皆さんも気付いたのがあれば、このスレッドに繋げませんか?

これはXOOPSに限ったことではありませんが使用するユーザの方も、ある程度知識がないと大変なことになる可能性があることを理解してください。

PHPの脆弱性が話題に上ってましたが、それ以前にモジュールがこんな状態ですよ?

コメント(49)

Re: モジュールの脆弱性 
投稿者: Marijuana | 投稿日時: 2005/11/12 9:42
Marijuana
素早い対応は評価出来ますが、SQL Injectinが出来る事に変わりないですよね。

where句の問題があるにせよ、好きなテーブル名にdelete文他発行できますよね
万が一、同じフィールド名使ってるテーブルがあれば削除し放題は変わり無いですよ

変数に入れてるから問題なので、テーブル名を定数にするだけでだいぶ違うと思います。
修正も一括置換するだけですし・・・
せめてテーブル名を代入しているところを、foreachの下に持ってくるとか

また、このスレッドで書いてませんがXSSが野放しになってます。

bankrollさんも書かれてますが、一旦取り下げる事も検討されてはいかがでしょうか?
後継バージョンを作られてるようですし、古いバージョンに手間暇掛けるよりは・・・
(もちろん注意喚起は必要です。それでも使うのであればユーザの責任ですから)


Ysuzukiさんの書込みをみて、なんて極端なって思いましたが、ある意味賢い選択をしたんだなぁと思い直しました。
せっかく作ったサイトが消えちゃったら哀しいですもんね。
Re: モジュールの脆弱性 
投稿者: nobu | 投稿日時: 2005/11/12 16:18
nobu
引用:

Marijuanaさんは書きました:
where句の問題があるにせよ、好きなテーブル名にdelete文他発行できますよね

こっちの問題には注意が届いていませんでした。
御指摘ありがとうございます。

一応、既知の問題だけでも対処しておきたいので、改定版に差し替えました。

%% 潜在的なものはまだまだあるだろうなぁ。orz
Re: モジュールの脆弱性 
投稿者: Ysuzuki | 投稿日時: 2005/11/12 18:56
Ysuzuki
Marijuanaさんに”賢明な”と言われると恥ずかしいのですが、プログラム勉強中の私にはこのフォーラムの情報が頼りなのです。まだ本格運用の前なので、もうすこし情報を見極めてから再開しようと思います。

egaideとxoopsの関係は、わたしにとってかつてのexcelとMachintoshの関係のようなもので、xoopsを使ってみようと思ったのもegideをはじめとするpiCal等の魅力的なモジュールがあったからです。

本来ならば自分でも有用な意見をここに書けるようになりたいのですが、残念ながらまだまだまだ・・・。(確かに5分でインストールはできたのですが、その域まで行けるのはいつだろう?)その代わり知人のプロから情報を仕入れたら転記しようと思います。

私のような初心者(アセンブラとかハードに近いものはやってたんですが)が急増して最近このフォーラムにご負担をかけているようですが、やはりこちらのサイトに掲載されたモジュールは信頼してしまいます。

他のスレでモジュールの当サイトとオリジナルサイトのバージョンの違いというのが話題になっておりましたが、私も少し前まではこのサイトに掲載されたら安心と思いこんでいました。

できるだけ勉強して追いつけるように頑張りますので今後とも宜しくお願い致します。長くなって失礼致しました。
nobuさん、頑張って下さい!
Re: モジュールの脆弱性 
投稿者: dendeke | 投稿日時: 2005/11/14 14:01
dendeke
みなさん、こんにちわ。

ちょっと話題がズレる(?)かもしれませんが、GIJOEさんが「PHPアプリケーションのセキュリティ本」をお出しになられるようです。

一連のモジュールの脆弱性問題で、自分なりにどのような貢献ができるかとずっと考えていました。

たとえば、ユーザプロジェクトとして、モジュールの検証チームなんてのを作ったらどうだろうか・・・ とか。それには自分でもモジュールの脆弱性の検証がキチンとできないといけないわけですが、まだまだ自分の技量ではそこまでキチンとできそうもなく、書き込みを控えていました。

もう少し勉強+GIJOEさんの出版される書籍を参考に、ある程度メドがついたら、そういう積極的な提案もさせていただければと思っています。
Re: モジュールの脆弱性 
投稿者: vzzv | 投稿日時: 2005/11/14 14:35
vzzv
dendekeさん、こんにちは。

有益な情報ありがとうございます。
早速、GIJOEさんのサイトで確認し、予約しにいったけどまだだったですね。^^;)

25日予定なので、製本されているころか、直前あたりかな?

私はどちらかというと、デザインよりだったりしますが、知らないではすまされないので、是非とも購入したいですね。

非常に楽しみです。
Re: モジュールの脆弱性 
投稿者: hiro1613 | 投稿日時: 2005/11/14 18:05
hiro1613
dendekeさん、こんばんは。

本の情報ありがとうございます。
私自身デザイナーなので、PHPはまだ始めたばかりですが、作る側の責任もあるとあると思いますが、使う側にも「初心者だから知らなかった」ではすまされない責任があると思い、少しづつですが勉強をはじめました。
いつになるかわかりませんが、少しでも力になれたらと思い、がんばって勉強します。
Re: モジュールの脆弱性 
投稿者: dendeke | 投稿日時: 2005/11/15 0:24
dendeke
vzzvさん、hiro1613さん、こんにちわ。

自分もまだまだセキュリティ的な面まで含めたPHPプログラミングは初心者の域を出ていませんが、XOOPS Cubeはモジュールの重要性が非常に高いシステムなので、使う側としてより安心して使えるように、また、第三者からの視点として提供される各モジュールの安全性を見極められるようになれればと思っています。

お互いがんばりましょう!
Re: モジュールの脆弱性 
投稿者: Marijuana | 投稿日時: 2005/11/16 13:20
Marijuana
SECUNIAでWF-DownloadsのSQL Injectionのアドバイザリ出てますけど、
話題にならないって事は、皆さん使ってないor気にしないのどちらかなんでしょうか

しかも某所にて攻撃用のPHPスクリプトも公開されてます。
もし使っている人が居るなら、気を付けてください。


#本家がやられたのも、この穴じゃないかとの話も・・・
Re: モジュールの脆弱性 
投稿者: domifara | 投稿日時: 2005/11/16 14:37
domifara
引用:
Marijuanaさんは書きました:
SECUNIAでWF-DownloadsのSQL Injectionのアドバイザリ出てますけど、
話題にならないって事は、皆さん使ってないor気にしないのどちらかなんでしょうか
しかも某所にて攻撃用のPHPスクリプトも公開されてます。
もし使っている人が居るなら、気を付けてください。
#本家がやられたのも、この穴じゃないかとの話も・・・

攻撃用のPHPスクリプト、検索したら一発ででてきました。
第一段階 modules/profile/activate.phpで・・のとこも問題なのでこのスクリプトに限っては、xoops jp には直接は・・
んー、wf-sectionのSQL文の穴まんまあるし(今塞いだ)、
xoops protector入っていると、unionクエリー動作しないはず、
でも、まだ、あるかもしれない、wf-sectionは今は、手におえないな、すいません、私のところのダウンロードしばらく(いつまで?さあ?)使えません。
Re: モジュールの脆弱性 
投稿者: domifara | 投稿日時: 2005/11/16 15:54
domifara
http://www.wf-projects.com/
のページの「There is a security flaw in WF-Downloads 2.05b and below that could allow SQL injections.」のニュースに載っている対応ソースでは、
私がさっき見てみたら
まだ同じソース内の別のところに、
SQインジェクションが可能な穴が残ったままになっています。
現時点では全部なんて見直せないので、WF-Downloadsは他にも穴があると思わないとだめです。

追伸:
開発もとの、お問い合わせで、一応伝えたです。
私の拙い英語で、伝わったかな?
Re: モジュールの脆弱性 
投稿者: domifara | 投稿日時: 2005/11/16 21:47
domifara
お知らせ
GIJOEサイトのニュースでも出たのですが
http://secunia.com/advisories/17573/
で、
register_globals Off なら良いらしいです

WYSIWYGエディタのひとつについてしか書いてないですが
ですが お願いです
class/の下において使う
WYSIWYGエディタについては

無責任で申し訳ないけど
私のサイトでダウンロードした人
news1.4x , soapbox1.5x なんかも、
まるで使えるようにソースをコーディングしたままにしてますが、
やっぱり駄目ってなる前に、WYSIWYGエディタは使わないでください。
PHPサイバーテロの技法(Re: モジュールの脆弱性) 
投稿者: dendeke | 投稿日時: 2005/11/22 8:41
dendeke
vzzvさん、こんにちわ。

引用:

有益な情報ありがとうございます。
早速、GIJOEさんのサイトで確認し、予約しにいったけどまだだったですね。^^;)

25日予定なので、製本されているころか、直前あたりかな?


本日確認したところ、ようやく(?)ソシム社のサイトに掲載され、amazon.co.jpからも予約できるようになりましたね!
Re: PHPサイバーテロの技法(Re: モジュールの脆弱性) 
投稿者: vzzv | 投稿日時: 2005/11/22 9:04
vzzv
dendekeさん、おはようございます。

おぉぉ、ついにでましたか。(ちと早かったですね。)

早速予約してきま〜す。
(カスタマイジングXOOPSも発売前の到着で一日どっぷり読んだりしてました。)
がんばって理解できるように勉強していきます。

情報ありがとうございました。
Re: PHPサイバーテロの技法(Re: モジュールの脆弱性) 
投稿者: tadashi | 投稿日時: 2005/11/22 11:06
tadashi
有楽町のビッグカメラの書籍売り場にありましたよ。
Re: PHPサイバーテロの技法(Re: モジュールの脆弱性) 
投稿者: itv | 投稿日時: 2005/11/23 1:25
itv
タイムリーな出版、ブレイクしそうですね。

手口はまたもやSQLインジェクション
Re: モジュールの脆弱性 
投稿者: Marijuana | 投稿日時: 2005/11/26 19:04
Marijuana
ANote1.0
getallmemo.php?uid=1&month=
getallmemo.php?uid=1&month=1' UNION SELECT 0,0,'','','',pass,0,0 from xoops_users /*
MySQLのユーザにFile権限あるなら、wf-downloadsと同じ事も可能(prefix変えていてもダメ)

いい加減こんな初歩的なの無くならないもんですかね
Re: モジュールの脆弱性 
投稿者: takuto | 投稿日時: 2005/11/26 22:03
takuto
ご指摘ありがとうございます。
面白そうなものが出来たからということで気軽に登録してしまいました。もう一度きちんとチェックを行いたいと思います。それまでの間は公開停止にしておきます。

セキュリティに対する関心はあり少しは勉強していますので、こんな小さなことで、と言う気はありません。感謝しております。しかし、いくら初歩的な問題であっても、個人が趣味で作成している以上、ある程度のチェック漏れや、妥協による見落としがあるのは当然といえば当然なのではないでしょうか?(そんなことだからこんな初歩的なミスが、とおっしゃられるかもしれませんが)

私の場合は、出来上がったらとりあえず公開してしまい、ユーザーさんに指摘してもらい修正する、という方法をとっています。この方法が効率的であるし、勉強にもなるし、良いものが出来ると考えているからです。

このような方法は間違っていますか?
セキュリティ対策が万全でないと公開すべきではありませんか?
Re: モジュールの脆弱性 
投稿者: fugafugaR2 | 投稿日時: 2005/11/26 23:13
fugafugaR2
引用:

takutoさんは書きました:
私の場合は、出来上がったらとりあえず公開してしまい、ユーザーさんに指摘してもらい修正する、という方法をとっています。この方法が効率的であるし、勉強にもなるし、良いものが出来ると考えているからです。

このような方法は間違っていますか?

その点に関しては私も全く同感ですし、間違ってはいないと思います。実際私もそうやっています。
XOOPSのモジュールの場合、開発者が1人でせっせと作ってユーザーがありがたく頂戴するというパターンが殆どのようですが、そんなんつまらんです。

ただ、この公式サイトのダウンロードに登録されたものは完成品と認識されて、中身の検証なんかされずに公開サイトで使ってしまわれる可能性が高い訳ですから、”とりあえず”での公開であればその旨はっきり書いた方がよかったのではないでしょうか。
takutoさんも汎用データベースモジュールの場合は開発中と銘打ってフォーラムの方で公開されてる訳ですし。

それに指摘された点、そんなに”小さなこと”でないですよ。公開サイトに導入してる人は即刻削除した方がいいです。
Re: モジュールの脆弱性 
投稿者: taquino | 投稿日時: 2005/11/26 23:24
taquino
私の場合もモジュールの脆弱性を指摘されたわけで、偉そうに言える立場ではありませんが、
引用:

セキュリティ対策が万全でないと公開すべきではありませんか?

意見を求める前に、SQL Injectionがどういう結果をもたらす危険性があるかを調べることを強くお勧めしますよ。
Re: モジュールの脆弱性 
投稿者: takuto | 投稿日時: 2005/11/26 23:31
takuto
引用:

ただ、この公式サイトのダウンロードに登録されたものは完成品と認識されて、中身の検証なんかされずに公開サイトで使ってしまわれる可能性が高い訳ですから、”とりあえず”での公開であればその旨はっきり書いた方がよかったのではないでしょうか。


そうですね、私もその点は軽率であったと反省しております。
今後公式サイトに登録する際には注意いたします。

SQL Injectionについても何度もセキュリティサイトの記事を見てはいましたが、認識が甘かったようです。
申し訳ありません。

投票(0)

新しいものから | 古いものから | RSS feed
 
To Top