2007年1月17日(水曜日)
MT で nofollow プラグインを無効にすると危険
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。
MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。
MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。
※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。
ところが、その処理は何故か本体ではなく、nofollow プラグインの中で実装されています。どうしてそういう設計なのかは謎としか言いようがありませんが、当然プラグインは無効にできますので、「HTMLの利用を許可」している場合に nofollow プラグインが無効にされていると、任意の HTML が素通りしてしまうことになります。
もっとも、原文にも以下のように書かれていますが、
If you have the nofollow plugin enabled (which it is by default), you shouldn’t have a problem.
nofollow プラグインはデフォルトで有効ですから、デフォルトのまま使っている場合には問題は起きないはずです。意図的に nofollow を無効にしている場合には要注意ということになります。
- 「MT で nofollow プラグインを無効にすると危険」へのコメント (3件)
関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / Movable Type
出会い系サイトの脆弱性
「迷惑メール54億通を送信した業者が逮捕される (slashdot.jp)」だそうで。
この前、仕事で出会い系サイトをいくつか見たんですが(ええ、仕事ですよ仕事!)、何か妙に基本のデザインやUIが一緒で、出会い系サイト構築パッケージとか制作・運用を一手に引き受けている業者があるのかなと思いましたね。
以上、出会い系サイト より
それはあるようですね。IPAX2006 で喋った時に言ったような気がしますが、spamメールに記載されている URL を見に行くとたいてい脆弱で、しかも複数のサイトに全く同一の脆弱性があったりしますので。
- 前(古い): 2007年1月16日(Tuesday)のえび日記
- 次(新しい): 2007年1月18日(Thursday)のえび日記
