:Errata の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• :Errata は削除されています。
• :Errata の差分を削除

------------------
#contents
------------------
** Default setting of file-attaching function allows XSS (- 1.4.5_1) [#qf91cd08]

- Category: default setting, plugin
- Module: attach.inc.php
- Announced: 2004-05-19(first)
- Affects: PukiWiki 1.3.x, 1.4.x
- Corrected: Continuing

*** Problem Description (概要) [#k6f48915]

PukiWikiのattachプラグイン(ファイル添付機能)を利用したXSS(クロスサイトスクリプティング)が可能であることが解りました。XSSを通じて:
- 第三者がアップロードした任意のスクリプトを(添付したそのWikiサイトの権限で、閲覧者のPCにおいて)実行する可能性があります。また、それによって:
-- 同じサーバー(ドメイン)でCookieを使用しているサービスがある場合に、Cookieを盗まれる可能性があります。
-- Wikiサイトをフィッシング詐欺等に利用される可能性があります。

PukiWikiはデフォルトで第三者にファイルのアップロードを許可しています。第三者にファイルのアップロードを許可していない設定あるいは構成にしているサイトはこの問題の影響をを受けません。

第三者に「ファイルをアップデートする機能」へのアクセスを許可している場合、以下の「回避策」に従い、「第三者に対する」アップロード機能の利用を禁止するか、添付ファイル機能を無効にして下さい。

※この情報提供は、[[JPCERT>http://www.jpcert.or.jp/]]の公開日決定に伴い、限定的に行われるものです。

- JVN#465742E4: Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 
-- http://jvn.jp/jp/JVN%23465742E4/index.html

- IPA:脆弱性関連情報の調査結果: JVN#465742E4
-- http://www.ipa.go.jp/security/vuln/documents/2005/JVN_465742E4_Wiki.html

*** Workaround (回避策) [#qc33ad6f]

予防措置: 「第三者によるファイル添付」を禁止する (下記のいずれか、ないし複数を実施する)
- (1) 1.4.5_rc1 以降のみ: pukiwiki.ini.php の先頭にある 定数 PKWK_READONLY の値を 1 にする
-- ※この方法には副作用があります: PukiWiki全体がリードオンリーモードになるため、閲覧以外の多くの行為が同時に禁止されます。最も素早く実施/復旧する事が可能ですから、下記にある他の対応を行う前の準備段階に利用する事もできます。この機能の詳細は[[dev:BugTrack/744]]にあります
- (2) attachプラグイン(plugin/attach.inc.php)の先頭にある設定を変更し、管理者だけが添付ファイルをアップロードできるようにする
-- 1.4.5_alpha以降: 定数 PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
-- それ以前: 定数 %%ATTACH_DELETE_ADMIN_ONLY%% &color(red){''ATTACH_UPLOAD_ADMIN_ONLY''}; の値を TRUE にする
- (3) attachディレクトリへの書き込み権限を取り除く (chmod a-w attach)
- (4) attachプラグイン(plugin/attach.inc.php)を削除する

対応後、本当ににアップロードの動作が禁止されているかどうかを確認して下さい。

*** Other (その他) [#ydc1b8ac]
- 本件は複数のWiki実装にわたる問題であり、より多くのWiki実装に対する検証と、構築済みの公開サイトについては最低限の一次対応(※アップロードに対する制限)がより多く実施される事が求められています。そのため、より具体的な情報は、ある程度時間を置いた後に別途公開します。
- 今までの機能性を安全に提供する方法について、全ての環境およびWebブラウザに有効な解決策は存在しない可能性があります。


*** History (履歴) [#ic4de36b]
- v1.2: 2005-05-20 訂正: PukiWiki 1.3.x を対象として明記。'Solution' の 項目名を 'Others' に修正、注意書きを追加。第三者の「添付」という表現を「アップロード」と明記。
- v1.1: 2005-05-19 訂正: ATTACH_DELETE_ADMIN_ONLY は ATTACH_UPLOAD_ADMIN_ONLY の誤り。JVNの公開を受けてリンクを追加
- v1.0: 2005-05-19 初版

------------------
** XSS vulnerability in plugin/ls2.inc.php (-1.3.7, -1.4.3) [#z0a8b322]

- Category: plugin
- Module: ls2.inc.php
- Announced: 2004-12-05 (for 1.3.x), 2004-08-12 (for 1.4.x)
- Affects: PukiWiki 1.3.3 - 1.3.7, 1.4pre2 - 1.4.3 
- Corrected: plugin/ls2.inc.php (r1.1.2.5 for 1.3.x, r1.20 for 1.4.x)

*** Problem Description (概要) [#d4332aa8]

PukiWiki に含まれている ls2 プラグインにXSS脆弱性が含まれていました。
1.4.x については既報および修正済みでしたが、
1.3.xに対する同様の脆弱性が未修正であったためこのたび修正しました。

PukiWiki 1.3.x を運用されている方、またPukiWiki 1.4.3 以前を運用しておりこの脆弱性に対処していない方は速やかにls2プラグインをアップデートして下さい。


*** Workaround (回避策) [#n07b6e6b]
- plugin/ls2.inc.php を削除する

*** Solution (解決策) [#m521ac44]

plugin/ls2.inc.php を修正済みのリビジョンに置き換える
- 1.4.x: [[plugin/ls2.inc.php(r1.20):http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/pukiwiki/pukiwiki/plugin/ls2.inc.php?rev=1.20&content-type=text/plain]]
- 1.3.x: [[plugin/ls2.inc.php(r1.1.25):http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/pukiwiki/pukiwiki/plugin/ls2.inc.php?rev=1.1.2.5&content-type=text/plain]]


------------------
** XSS vulnerability in plugin/color.inc.php (-1.4.4) [#lad29fae]

- Category: plugin
- Module: color.inc.php
- Announced: 2004-11-21 
- Affects: PukiWiki 1.4rc3 - 1.4.4
- Corrected: plugin/color.inc.php (r1.13)

*** Problem Description (概要) [#w953b920]
PukiWiki 1.4.x に含まれている color プラグイン (r1.5-1.9まで) に
XSS脆弱性が含まれていることがわかりました。PukiWiki 1.4.x を
運用されている方は速やかにcolorプラグインをアップデートして下さい。

プラグインマニュアル(1.4.4以降に同梱)に記載されている利用方法
であればこの脆弱性にひっかかることはありませんが、対処しなかった
場合、脆弱性を悪用される可能性があります。


*** Workaround (回避策) [#n07b6e6b]
- plugin/color.inc.php を削除する


*** Solution (解決策) [#m521ac44]
- plugin/color.inc.php を検証済みのリビジョン 1.13 に置き換える
-- [[plugin/color.inc.php(r1.13):http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/pukiwiki/pukiwiki/plugin/color.inc.php?rev=1.13&content-type=text/plain]]
-- ※PukiWiki 1.4にて動作確認済み

------------------