Forums: POPFile 全般 (Thread #5692)

任意の GIF/PNG/ICO/CSS/HTML が読み取られる脆弱性が発見されました (2004-08-02 23:38 by amatubu #10441)

本家フォーラムでアナウンスされていますが、任意の GIF/PNG/ICO/CSS/HTML
が読み取られる脆弱性が発見されました。
対象となるバージョンは POPFile 0.21.0 と 0.21.1 で、ステルスモードを
無効にしていた場合(デフォルトでは有効です)が該当します。

詳しくは、本家のメッセージ
https://sourceforge.net/forum/message.php?msg_id=2693493
を参照ください。

以下は、上記メッセージ(PSA #2)の翻訳(概要)です。
急いで翻訳したので一部変なところもあるかもしれません。詳しくは原文を参照
してください。

--

POPFile Security Advisory #2 : File read problem

みなさん、

ちょうど 1 時間弱前に、POPFile 開発者のひとりから GIF/PNG/ICO/CSS/HTML
ファイルがブラウザから読み取ることができるという脆弱性を発見したという報告が
ありました。

よかったのはステルスモードのデフォルト設定では影響がないことですが、問題なのは
セキュリティ上の欠陥が見つかったことです(これまで最後に(そして最初に!)
見つかったのは 2003 年の 5 月でした)。

すでにこの問題を修正するパッチを作成しており、今日テストして明日か水曜日
(訳注:日本では木曜日になるかと思います)リリースする予定です。この
バージョンは 0.21.2 となりますが、この情報をお知らせするのが遅くなっては
いけないと思ったのです。

誰がこの問題の影響を受けますか?

この問題は、あなたが

1. バージョン 0.21.0 あるいは 0.21.1 を使用していて、

さらに

2. ステルスモードを無効にしている(デフォルト設定ではステルスモードになって
おり、外部からあなたのマシンに接続することはできません)

場合にのみ影響があります。

すぐにできる対処方法としてどんな方法がありますか?

セキュリティタブを開き、UI のステルスモードを有効にしてください。

アタッカー(攻撃者)は何をすることができますか?

特別な URL を作成することによって、あなたのマシンにある、ファイル名が以下の
拡張子で終わるファイルを読み取ることができます。対象となる拡張子は、.gif、
.png、.ico、.css、.html です。.html については、パスの中に manual/ が入った
ディレクトリにあるものが対象となります。攻撃者はファイルへのフルパスを知って
いる必要があり、また、ファイルの一覧や検索はできません。

次に

このような問題が起こってすみません。この問題を解決するパッチをできるだけ早く
(ASAP)公開します。
アドバイザリに番号をつけた方がよいと思いますので、これはオフィシャルな PSA
(POPFile Security Advisory)#2 となります。PSA #1 は、以下で読むことが
できます。

https://sourceforge.net/mailarchive/forum.php?thread_id=2563459&forum_id=12356

John.
(翻訳 amatubu)

RE: 修正パッチ(0.21.2)がテスト公開されています (2004-08-03 23:18 by amatubu #10452)

本家フォーラムにて、修正パッチ(0.21.2)がテスト公開されています。
https://sourceforge.net/forum/message.php?msg_id=2694578

ステルスモード無効で使用する必要がある方は試してみてはいかがでしょう。
もちろん、テストリリースですので、現状の環境をバックアップしてから。

私はまだテストしていませんが、取り急ぎ報告です。
Reply to #10441

RE: 修正パッチ(0.21.2)がテスト公開されています (2004-08-03 23:52 by amatubu #10454)

Mac OS X 10.3.4 で動作確認しました。現在のところ特に問題はありません。
また、0.21.1 用の日本語化パッチを適用しても問題ありません。

またなにかありましたら報告します。
Reply to #10452