b2evolution 4.0.4以前にXSS脆弱性
b2evolution公式フォーラムの「b2evolution 4.0.3 Vulnerability」でのやり取りによると、b2evolution 4.0.4以前にクロスサイトスクリプティング(CSS/XSS)脆弱性があるそうです。
対策を施したb2evolution 4.0.5が3月23日にリリースされています。
私のほうで手元の2.4.7日本語改造版を4.0.5にバージョンアップする余力がないので、ひとまず2.4.7の該当する部分を修正したものを作ってみました。後述のZIP書庫ファイルを展開して出てきた _param.funcs.php
ファイルを、元のファイルと(バックアップをとった上で)差し替えてください。
自分用に作っただけであまりきちんと動作検証できてないので、もしこれを利用する方がいらっしゃいましたら、あくまで一時しのぎくらいに考えておいてください。
[b2evolution 2.4.7日本語周り改造版用修正ファイル]
b2evolution-2.4.7-xss-fix-20110325.zip
ファイル・サイズ: 15,447 bytes,
MD5: 1ebb26161723b42e50108456e8b45342 ,
SHA1: a55fc67971669590b1dfb9344472f6a4f435562c
(ここXREA.COM無料サーバからのファイルのダウンロードは、混み合う時間帯には特に、途中で中断してしまう場合がありますので、ダウンロード後にファイル・サイズを確認して、もしサイズが小さい場合はダウンロードしなおしてみてください)
今回の脆弱性公開のごたごたについて雑感
以下は余談になります。
今回の脆弱性報告は、3月15日にAutoSec ToolsのJohn Leitch氏がb2evolution公式フォーラムに「脆弱性を発見しました。こちらにメールをくれれば詳細を教えます。(要約)」という主旨の書き込みをしたところから始まっているのですが、当初は「14日間待ってから公開する (we will disclose this vulnerability in a public advisory 14 days after this notification.
)」と述べていたにもかかわらず、実際にはわずか18時間で公開しており、AutoSec Tools側の言動が一貫していないことに問題を感じます。
フォーラム上で「デマではないか」「広告・宣伝活動ではないか」「脅迫っぽく感じる」などの反応が一部ユーザーたちからあったことで、AutoSec Tools側が腹を立てたのではないかとも想像できますが、最初に14日待つと言ったものを18時間後に自ら反故にするのは、ちょっといただけません。
公開の約5時間前(最初の書き込みから約13時間後)には、アクティブメンバーの一人が「私のほうにメールを送ってください。適切な内容なら、Françoisさん(プロジェクト管理者/メイン開発者)にも転送しますよ。(要約)」と書き込みをしていただけに、AutoSec Tools側がどういう理由で即日公開に踏み切ったか、理解ができません。