BB WP XSS問題対策
heise online – XSS-Lücken in Wordpress-Themesによると、WordPressの最新版2.13、K2、スタンダード等を含むすべてのテーマに
XSSの問題があるそうです。
クロスサイトスクリプティング (Cross Site Scripting) とは、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。
via: クロスサイトスクリプティング – Wikipedia
これを受けてBinaryBlue ではhotfixを含めたSmall update が行われました。(バージョンアップはまだ。)
BBはファイル量がとてつもなく多いので、パッケージの入れ替えは大変です。
とりあえずSearchform pnpを修正すれば良さそうです。バージョンアップする!というアナウンスが流れてしばらく経つのでもうじきだと思います。それまでの応急処置です。
hotfixとは
ソフトウェアに致命的なセキュリティ上の脆弱性など深刻な不具合が発見された場合に、通常のリリース手順を踏まず緊急に発行される修正プログラム。
via: IT用語辞典
searchform.phpの修正
[sourcecode language='php']
action=”< ?php
echo $_SERVER['PHP_SELF'];
?>“[/sourcecode]
上記の箇所を下記に修正
[sourcecode language='php']
action=”< ?php
echo htmlspecialchars
($_SERVER['PHP_SELF']);
?>”[/sourcecode]
BBの場合
- いざというときのためにバックアップしてから行いましょうね、ヌーブラのおにいさん
- BinaryBlueのインストール、及びバージョンアップをする場合は必ずすべてのプラグインを無効にして、一度デフォルトテーマに戻してから行います。
(今回のsarchform.phpを修正するぐらいならそこまでしなくて大丈夫です。) - 最近YouTubeやFlash等でIE表示がクラッシュする報告が出てます。私も原因不明のスクリプトエラーで悩んでます。
他のプラグインとの相性でしょうが、どうもBinaryBlue はAJAXづくしなのでその辺が弱いみたいです。
次期バージョンアップの様子を見て、もしかしたら思いっきりシンプルなテーマに変えるかも…
感想
XSSは、テーマというより、サイトのオーナー次第って感じですね。
不用意に作成したFlashコンテンツや不正な文字やミスタイプで問題を引き起こすこともあるそうで、(超上辺だけしかしらないけど。)そんなの分かる人にはわかるけど、分からない人にはわからないですよね。
Cookieなしで動作するよう極力努力すべきだそうで、あらためて思ったのは、
「ネットってやっぱり怖いー!」
いいことばかりじゃ無いってことだけは踏まえていたほうがいいですね。
ユーザ側として取れる対策としては、やはり攻撃者サイトでリンクを実行しないことです。 そのためには、毎回言ってますが、怪しいメールの中のリンクをクリックしたり、不審なサイトでリンクをクリックしないようにしましょうね。
Ref: スパイウェア・ウイルスの駆除と対策
びんさん、あれは、
「びんさぁーん!」って書くとそうなっちゃうの :kopete012:
Rikaさん最近twitterに過去のエントリーが通知されてくるんだけど、あれなに?
そうか。WordPressももうすぐバージョンアップだね
あ、ヌーブラが好きなお兄さん、こんにちは :kopete006:
heise online – XSS-Lücken in Wordpress-Themesでは、BBだけじゃなくて、WP全体のことを書いていて、searchfome.phpのこともそこに書かれていたので、同じだと思います。
BBバージョンアップの時にまとめて、でもいいかも。
WPもそろそろだしね。
あついねー!!!!
Rikaさんこんちわ、モッコリ君です
オイオイ、これこれ、それはないっしょ:kopete008:
それと
searchform.phpって初めからBBのものを使ってなくてWordPressオリジナルのものを使ってるんだけどオリジナルのsearchform.phpでも一緒ですかねぇ :kopete013: