水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年1月 > 2007年1月9日(火曜日)

2007年1月9日(火曜日)

FF7アルティマニアオメガ

会社で「ファイナルファンタジーVII アルティマニア オメガ (www.amazon.co.jp)」が捨てられそうになっていたのを発見。いまさら FF7 もなかろうとスルーしかけましたが、そういえば木村昌弘さんのやりこみ記事があったはずということを思い出し、回収しておきました。

あとで読む。

関連する話題: ゲーム / FF7

セキュリティ修正の履歴が公表されていないケース

コンピュータウイルス・不正アクセスの届出状況[12月分および2006年年間]について (www.ipa.go.jp)」というのが出ております。

ネットワーク管理者から「ウェブページ改ざんを検知した」との通知を受け調査したところ、自身が管理するサーバに設置してあったウェブアプリケーションである「postmail」(Web からメールを送信するメールフォームの cgi プログラム)のディレクトリに不審なファイルが置かれていたことが判明。

(~中略~)

脆弱性のあるバージョンの postmail を使っていたことが原因と思われた。

ここで言う postmail というのは、KENT WEB でフリー配布されている PostMail (www.kent-web.com) のことなのでしょうか。ユニークさのかけらもない名前なので、別の何かである可能性もありますが……。

ともあれ、その KENT WEB の PostMail にについて、以下の 2点を知りたいと思ったわけです。

で、サイトを見たのですが……セキュリティ修正に関する情報は何処にも出ていないのですね。アーカイブの中に ChangeLog が含まれているのかとも思いましたが、それも無い模様です。これは予想外でした。

もちろん、脆弱性が一切発見されていない状態であれば、何の情報もなかったとしても不思議ではありません。しかし、「JVN#25106961 Kent Web PostMail におけるメール第三者中継の脆弱性 (jvn.jp)」というものが公開されているので、少なくともこの情報は目立つところに出ていて良いはずです。が、この情報のアナウンスも出ていないようで……。

注意深く見ると、以下のような記述があります。

プログラムは、セキュリティ対策を施した v3.4以降を必ずご使用ください。

以上、KENT WEBのフォームメール より

しかし JVN#25106961 では

影響を受けるシステム

- Kent Web PostMail 3.2 及びそれ以前

以上、JVN#25106961 Kent Web PostMail におけるメール第三者中継の脆弱性 より

となっています。さらに、新着情報 (www.kent-web.com)のページを頑張って探してみると、以下のような記述がありました。

■PostMail v3.3

・旧バージョンにてセキュリティホールが見つかりました。

必ず最新版へアップデートしていただきますよう、お願いいたします。

http://www.kent-web.com/data/postmail.html

ということは、v3.3 で第三者中継を修正した後に v3.4 で別のセキュリティ修正を行っているという事のように思いますが、残念ながら v3.4 の改版情報は発見できませんでした。v3.3 についても何が修正されているのか書かれていませんので、第三者中継の修正だけなのか、別の修正も含まれているのか分からないわけでして……。

※もっと言うと、v3.3 では第三者中継ではなく別の修正が行われていて、第三者中継の問題は放置されている可能性さえ考えられます。もっとも、修正されていなければ JVN で情報が公開されることは無いはずなので、第三者中継の問題は修正されているはずですが。

これだけの情報では、セキュリティ修正がきちんと行われているのかどうか、どのバージョンがどのように危険なのか、といったことが判断できません。まあ、フリー配布されているものですし、作者に履歴を公表する義務もないとは思うのですが、

脆弱性のある古いバージョンのメールフォームを使っていたために、攻撃者は侵入とスパムメール送信を余分な手間を掛けずに実行することが可能となっていました。このように脆弱性を放置してしまうと、被害者であると同時に加害者にもなってしまいます。ウェブアプリケーションの場合は、社会的影響も大きくなるため、特に注意が必要です。

以上、コンピュータウイルス・不正アクセスの届出状況[12月分および2006年年間]について より

……と言われても、作者がセキュリティ修正のアナウンスをきちんとしていないような場合、注意のしようが無いと思うのですよね。あえて言うなら、そういうベンダーのアプリケーションは使用しない、というのが唯一の対策になりますが、では何を使えば良いのかと言うと、これまた非常に難しいことになりそうで……。

関連する話題: Web / セキュリティ / IPA

メモ : Smarty のセキュリティ

最近、PHP のウェブアプリケーションに Smarty が使われているケースをよく見かけますが、Smarty には {php}タグ (smarty.php.net)というのがあって、任意の PHP コマンドが実行できたりするようです。ですから、ユーザが任意の Smarty テンプレートを記述できるような設計になっていると、任意コマンドの実行を許してしまうおそれがあります。

※そんなことをする人はいない、と言いたいところではありますが……。

ちなみに Smarty には $security (smarty.php.net) という設定があって、これを true にしておくとコマンドの実行はできなくなったりするようです。もっとも、$security を有効にしたとしても、{$txt|escape} であるべきところを {$txt} と書いてしまうと XSS が発生したりしますので、「こう使えば安全」ということでもありません。

関連する話題: Web / セキュリティ / PHP

とあるパスワードリマインダ

とあるサービスのパスワードをすっかり忘れていて、パスワードリマインダを使ったのですが……。

……と、なかなか興味深い体験ができました。

ちなみに、このサービスではクレジットカード番号の入力がよく分からない別サイトになっていたりもして、なかなかスリリングな感じです。

関連する話題: Web / セキュリティ

最近の日記

関わった本など