今回のセキュリティ・ホールの概要(IPAの情報から引用)
[画像のクリックで拡大表示]
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は11月6日,ウェブ日記(ブログ)の作成を支援するソフトウエア「ハイパー日記システム」にクロスサイト・スクリプティングの脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。悪用されるとユーザーIDなどを盗まれる恐れがある。対策は最新版にアップグレードすること。
今回のセキュリティ・ホールは,ハイパー日記システムに含まれる日記編集機能のCGIプログラム「webif.cgi」に見つかった。このプログラムにはクロスサイト・スクリプティングのセキュリティ・ホールが存在するため,細工が施されたリンクをユーザーがクリックすると,ハイパー日記システムが稼働するサーバーのコンテキストで,攻撃者が意図したスクリプトが実行される恐れがある。
具体的には,利用しているハイパー日記システムが発行したcookie情報を盗まれる可能性などがある。cookieには日記を管理するためのIDなどが含まれるため,ユーザーになりすまして日記の内容を改ざんされたり,秘密の日記を閲覧されたりする恐れがある。
セキュリティ・ホールが存在するのは,バージョン2.19.8(hns-2.19.8,hns-lite-2.19.8)およびそれ以前。対策は最新版にアップグレードすること。11月5日にリリースされたバージョン2.19.9では今回のセキュリティ・ホールは解消されている。最新版はSourceForge.jpなどからダウンロードできる。
・IPAとJPCERT/CCが共同運営するJVNの情報
・Hyper NIKKI System Projectの情報
・IPAの情報
