MODx本体インストーラのXSS脆弱性情報と対策について
2010年7月15日 23時50分 shortlink:http://modx.jp/?id=202
MODx 本体のインストーラに、クロスサイトスクリプティングの脆弱性が発見されました。危険度は高くありませんが、簡易の対策でリスクを抑えることができるためアナウンスいたします。
対象
MODx version 0.9.6.2 から最新の 1.0.4 まで(※/install/ディレクトリを削除していれば問題ありません)
現象
/install/ ディレクトリ内の特定のファイルに対して特殊な引数を持つリンクを張り、これをユーザにクリックさせることで任意のスクリプトを、ユーザのブラウザ上で実行することができます。クロスサイトスクリプティングで考えられる脅威として、クッキー情報の漏えい、意図しないフォームへの投稿、偽ページへの誘導などが想定できます。
情報元
http://www.securityfocus.com/bid/41454
実態
現在のところ、当脆弱性を利用した攻撃を受けたという報告は確認されていません。
開発チームとしての対応
インストーラに修正を施した新パッケージを今月中にリリースします。運用中のシステムには関係ありませんので、今回は過去のリリースに対するパッチは提供しません。
注意点及び回避策
さまざまな条件が揃う必要があるため、この脆弱性が利用される可能性は低いですが、CMSのインストール時は一時的に弱い状態にあるものと考えることができるため、基本的に注意が必要です。
すでにインストールまたはアップデートを終えている場合は、/install/ ディレクトリがサーバ上に残っていたら削除してください。
これからインストール及びアップデートする場合は、ファイル数が多いため転送に時間がかかることもありますが、/install/ ディレクトリを転送したまま長時間に渡って作業間隔を空けないように気をつけてください。また、作業時に以下の対策を行うことで脆弱性の問題を緩和することができます。(対策を施した新パッケージを使わずあえて旧バージョンをインストールしたい場合にも有効です)
- installディレクトリへのアクセスを特定IPアドレスのみに限定
- installディレクトリにベーシック認証をかける
IPアドレスで制限をかける方法を以下に紹介します。
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx(許可したいIPアドレス)
上記のような内容の.htaccessファイルを、 /install/ ディレクトリに置いてください。アップデートの場合は、IPアドレスは管理画面ダッシュボードの「オンライン」のタブに表示されていますので、アップデート作業前に確認してください。
