セキュリティーホールmemoによると複数のWikiに脆弱性がある、記載されていました。以下が対象のWiki
PukiWiki
Wiki もどき
AsWiki
Hiki
私がWikiに使っているPukiwiki 1.4.5_1も含まれていますが、設定の関係上、指摘されている脆弱性の影響は無いと思われます。念のためにPukiwikiサイトのerrataの回避策も実施しました。
http://pukiwiki.org/index.php?%3AErrata#qf91cd08
予防措置: 「第三者によるファイル添付」を禁止する (下記のいずれか、ないし複数を実施する)
* (1) 1.4.5_rc1 以降のみ: pukiwiki.ini.php の先頭にある 定数 PKWK_READONLY の値を 1 にする
o ※この方法には副作用があります: PukiWiki全体がリードオンリーモードになるため、閲覧以外の多くの行為が同時に禁止されます。最も素早く実施/復旧する事が可能ですから、下記にある他の対応を行う前の準備段階に利用する事もできます。この機能の詳細はdev:BugTrack/744にあります
* (2) attachプラグイン(plugin/attach.inc.php)の先頭にある設定を変更し、管理者だけが添付ファイルをアップロードできるようにする
o 1.4.5_alpha以降: 定数 PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
o それ以前: 定数 ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
* (3) attachディレクトリへの書き込み権限を取り除く (chmod a-w attach)
* (4) attachプラグイン(plugin/attach.inc.php)を削除する対応後、本当ににアップロードの動作が禁止されているかどうかを確認して下さい。
デフォルト設定でPukiwikiをご利用の方は早急に回避策の実施をお勧めします。
もちろん他のWikiをご利用の方も対策が必要です。脆弱性がないWikiでもデフォルト設定やインストールマニュアル手順通りにインストールしていない場合は影響がある場合も考えられます。自身が無い場合はIPAの情報公開を待ち、安全であるか確認した方が良いと思います。
Leave a Comment