Nucleus(JP)フォーラム

NucleusCMS日本語版ユーザーのためのサポートフォーラムです。疑問が生じたらまずは記事検索をご利用ください。

ログインしていません。

#1 2006-11-26 08:30:24

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

【重要】新バージョンをリリースしました(2006-12-7)。特に,NP_Analyzeをインストールしているユーザーは重大な脆弱性があるので,このバージョンを必ずインストールしてください。また,管理画面を持つプラグインの場合,アンインストールしていてもファイルを消していない場合,脆弱性はなくなりません。このバージョンはその場合にも対応しますので,全ユーザーにインストールすることを強くお勧めします。

Nucleusの幾つかのプラグインに脆弱性が発見されました。Nucleus(JP)チームでは、この脆弱性を解決するためのプラグインNP_0TicketForPluginを用意いたしましたので、リリースいたします。

プラグインオプション変更ページ以外に独自の管理ページを持つ物に、この脆弱性が存在する場合があります。

悪意のある第三者がこの脆弱性を利用するには、Super-admin権限もしくはブログ管理権限のあるユーザを悪意のあるWebページに誘導する必要があるため、危険度は高くはありません。しかし、もしこの脆弱性をつかれた場合にサイトを完全にコントロールされてしまう可能性もあります。

この脆弱性は、以下のプラグインを利用しているすべてのNucleus(2006年11月現在の最新版、3.24及び、それ以前のバージョン)に関係します。他にも、独自の管理ページを持つプラグインに同様の脆弱性が存在する可能性が在ります。

NP_MediaFiles
NP_Database
NP_Analyze
NP_MemberControl
NP_MultiTags
NP_Trackback
NP_Blacklist
NP_Clap
NP_Paint
NP_ImpExp
NP_MultipleCategories
NP_ContentsList
NP_ExtraSkinJP
NP_SkinSwitcher
NP_CT
NP_LinkList 0.53
NP_AWS

これらのうち、NP_0TicketForPluginのインストールで脆弱性が解決できるプラグインは以下の通りです。

NP_MediaFiles
NP_Database
NP_Analyze
NP_MemberControl
NP_MultiTags
NP_ContentsList (追記:一部解決できない機能があります。対処版をダウンロードしてください。)
NP_ExtraSkinJP (追記:一部解決できない機能があります。対処版をダウンロードしてください。)

以下のプラグインについては、この脆弱性を解決した最新版がすでに公表されているか近日中に公表されますので、それらの最新版を入手してインストールしてください。

NP_Trackback
NP_Blacklist
NP_Clap
NP_Moblog
NP_Paint
NP_ImpExp
NP_MultipleCategories
NP_SkinSwitcher
NP_CT
NP_LinkList 0.53
NP_AWS

(追記)
バージョンを、1.1 に上げたものをアップしました。バージョン1.0 では一部のプラグインで管理画面が使えない(Expired Ticket と表示され、次に進めない)場合と、サーバとして IIS を用いている場合にのみ、1.1 にアップグレードしてください。このいずれにも相当しない場合(Apache を用いていて、1.0 で問題ない場合)は、1.0 のままでかまいません。

(追記)
現在の最新バージョンは、1.2.8.1a です。Nucleus ご使用のすべての方に、このバージョンのインストールを強くお勧めします。


Attachments:
zip NP_0TicketForPlugin100.zip, Size: 8.64 KiB, Downloads: 3,002
zip NP_0TicketForPlugin110.zip, Size: 9.32 KiB, Downloads: 3,014
zip NP_0TicketForPlugin.zip, Size: 3.53 KiB, Downloads: 4,060

オフライン

#2 2006-11-26 09:06:14

サクラキャンドル
メンバー
登録日: 2004-08-25
投稿: 164
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

すいません、緊急だと思うのでいくつか質問させてください。

>>以下のプラグインを利用しているすべてのNucleusに関係
とありますが、現在の最新版Nucleusにおいてであり、将来的にはNucleus本体に修正がとりこまれますよね?
現在の最新Nucleusのバージョンを一緒に書いておいた方がよいと思います。

また、0PatchBlogidの場合はインストールすると自動的にプラグインリストの一番上に移動しましたが、このプラグインの場合は移動しません。これは、プラグインのインストールの順番は関係ないと考えてよろしいですね?


農場主の日常(管理人blog)
http://nojomaster.com/

オフライン

#3 2006-11-26 09:17:28

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

サクラキャンドル さんの発言:

>>以下のプラグインを利用しているすべてのNucleusに関係
とありますが、現在の最新版Nucleusにおいてであり、将来的にはNucleus本体に修正がとりこまれますよね?
現在の最新Nucleusのバージョンを一緒に書いておいた方がよいと思います。

おっしゃるとおりです。2006年11月現在の最新版(3.24)及び、それ以前のNucleusに関係します。また、おそらくver 3.3で同様の機能がコアに導入されることになると思います。

サクラキャンドル さんの発言:

また、0PatchBlogidの場合はインストールすると自動的にプラグインリストの一番上に移動しましたが、このプラグインの場合は移動しません。これは、プラグインのインストールの順番は関係ないと考えてよろしいですね?

はい、関係ないです。このプラグインはNP_0PatchBlogidと違い、インストールさえされていればプラグインリストのどこにあっても機能します。

オフライン

#4 2006-11-26 10:42:16

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

以下のプラグインについては、NP_0TicketForPluginのインストールに加えて、それぞれのリンク先から最新版をダウンロードして、インストールしてください。

NP_SkinSwitcher
NP_AWS

オフライン

#5 2006-11-26 17:11:30

hsur
メンバー
From: 東京都
登録日: 2004-05-03
投稿: 230
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

私がメンテナンスをしているプラグインについて、アップデート版の提供を開始しました。
NP_0TicketForPluginで対策できるものもありますが、最新版へのアップデートを推奨します。

NP_Trackback
※NP_0TicketForPluginで対策できない脆弱性を含んでいます
http://japan.nucleuscms.org/bb/viewtopi … 5364#15364
http://blog.cles.jp/item/1729
NP_Blacklist(NP_0TicketForPluginで対策可)
http://japan.nucleuscms.org/bb/viewtopi … 5365#15365
http://blog.cles.jp/item/1730
NP_Clap(NP_0TicketForPluginで対策可)
http://japan.nucleuscms.org/bb/viewtopi … 5366#15366
http://blog.cles.jp/item/1731
NP_Paint(NP_0TicketForPluginで対策可)
http://japan.nucleuscms.org/bb/viewtopi … 5367#15367
http://blog.cles.jp/item/1732
NP_ImpExp(NP_0TicketForPluginで対策可)
http://japan.nucleuscms.org/bb/viewtopi … 5368#15368
http://blog.cles.jp/item/1733
NP_Moblog
・脆弱性はありませんのでアップデートの必要はありません。

オフライン

#6 2006-11-26 21:31:45

佐藤(な)
メンバー
From: 愛知の知多半島の田舎
登録日: 2005-09-12
投稿: 266
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_MultipleCategories 対策版ver0.5j をアップしました。ダウンロードは下記ページよりお願いします。
http://japan.nucleuscms.org/bb/viewtopic.php?p=15371

NP_0TicketForPluginで対策できますが、アップデートをお勧めします。
<追記>申し訳ございません、NP_0TicketForPlugin で解消されません。対策にはプラグインのアップデートが必要です。</追記>


各種プラグインを紹介するblog(鯖更新忘れ死亡中)
スキン・テンプレ変数を紹介するブログ(復活)
http://reference.nucleus.satona.net/
wa - Nucleusやウェブネタなど
http://wa.otesei.com/

オフライン

#7 2006-11-27 12:35:52

佐藤(な)
メンバー
From: 愛知の知多半島の田舎
登録日: 2005-09-12
投稿: 266
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_MultipleCategories サブカテゴリ無限階層非対応版 ver0.3xj系 もアップしました。ダウンロードは、同じく下記ページよりお願いします。
http://japan.nucleuscms.org/bb/viewtopic.php?p=15371


各種プラグインを紹介するblog(鯖更新忘れ死亡中)
スキン・テンプレ変数を紹介するブログ(復活)
http://reference.nucleus.satona.net/
wa - Nucleusやウェブネタなど
http://wa.otesei.com/

オフライン

#8 2006-11-27 13:03:50

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_ContentsListについて、一部の機能が NP_0TicketForPlugin で対処できないことが判明しました。このプラグインについては、このフォーラムの該当記事から最新版を入手し、NP_0TicketForPluginと組み合わせて使用してください。

また、同様に、NP_ExtraSkinJP についても一部の機能がNP_0TicketForPlugin で対処できないことが分かっています。これについても、早急に修正情報を出しますので、今しばらくお待ちください。

ご迷惑をおかけします。

(2006-12-06 追記)
管理画面の脆弱性について、自身ですべてのticket処理を行うようにしたバージョンをアップしました。ご使用の方は、アップグレードをお願いします。

オフライン

#9 2006-11-27 13:31:30

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_ExtraSkinJP については、フォーラムのこの記事から最新版を入手して、インストールしてください。NP_0TicketForPlugin との併用が必要です。

(2006-12-06 追記)
管理画面の脆弱性について、自身ですべてのticket処理を行うようにしたバージョンをアップしました。ご使用の方は、アップグレードをお願いします。

オフライン

#10 2006-11-27 15:44:08

PUSHMAN
メンバー
登録日: 2004-08-15
投稿: 60
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

対策ならびにアップデートありがとうございます。動作報告させていただきます。

今回の脆弱性が該当するプラグインのうち「NP_MediaFiles」「NP_Trackback」「NP_ContentsList」を利用しています。また標準でインストール済みの「NP_SkinFiles」も利用しています。Nucleus本体も最新版の3.24を使用しています。

「NP_0TicketForPlugin」導入後、上記プラグインすべての各管理画面は問題なく表示できるのですが、そこから各項目を編集しようとすると「Invalid or expired ticket.」というエラーメッセージが表示されます。「NP_TrackBack」は最新版をインストールすることで解決しましたが、残りのプラグインは最新版を導入しても改善できませんでした。

インストール後、なにか特別すべきことがあるのでしょうか?


マーカーのドラッグ&ドロップでGoogle Mapsの緯度経度を測定|Geocoder
http://geocoder.heartfield-web.com/

What's so bad about feeling good?
http://blog.heartfield-web.com/

オフライン

#11 2006-11-27 17:49:41

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

PUSHMAN さんの発言:

インストール後、なにか特別すべきことがあるのでしょうか?

報告をどうもありがとうございます。NP_0TicketForPlugin は、JavaScript の機能を利用して管理画面を保護しています。ですので、もしJavaScript が無効になっていると、管理画面には入れるけれども、編集が出来ないという状況になります。お使いのブラウザで Nucleus を利用しているサイトについて JavaScript が有効になっていますでしょうか?

オフライン

#12 2006-11-27 18:17:18

PUSHMAN
メンバー
登録日: 2004-08-15
投稿: 60
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

ご返信ありがとうございます。

JavaScriptは有効にしています。使用環境Mac OS X 10.4.8、ブラウザはSafari 2.0.4です。
FireFoxでログインしてみましたが、結果は同じでした。ならばとWindows IE、FireFoxでも試しましたが、こちらもダメです。

サブドメインで運用しているのですが、cookieの設定は関係ありますでしょうか?


マーカーのドラッグ&ドロップでGoogle Mapsの緯度経度を測定|Geocoder
http://geocoder.heartfield-web.com/

What's so bad about feeling good?
http://blog.heartfield-web.com/

オフライン

#13 2006-11-28 06:05:52

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

PUSHMAN さんの発言:

JavaScriptは有効にしています。使用環境Mac OS X 10.4.8、ブラウザはSafari 2.0.4です。
FireFoxでログインしてみましたが、結果は同じでした。ならばとWindows IE、FireFoxでも試しましたが、こちらもダメです。

サブドメインで運用しているのですが、cookieの設定は関係ありますでしょうか?

cookie の設定は、関係ないはずです。この件の対処については、今しばらく時間をください。もしプラグインの管理画面を使用する必要があれば、いったん NP_0TicketForPlugin をアンインストールし、プラグイン管理画面で操作を行った後に、Nucleus からログアウトしてください。ログアウトしている間は、この脆弱性は出ません。なお、このケースだと、NP_ContentsList と、NP_ExtraSkinJP は、対処する前のバージョンを使用する必要があります。

オフライン

#14 2006-11-28 09:13:00

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

バージョン 1.1 をアップしました。

サーバとして IIS をお使いの方は、申し訳ありませんが 1.1 にアップグレードしてください。Apache や類似のサーバの場合(具体的には、$_SERVER['REQUEST_URI'] が使えるケース)は 1.0 のままで大丈夫です。

また、PUSHMAN さんのように、一部のプラグインで管理画面が使えないケースにも対応していると思いますので、アップグレード版をお試しください。場合によっては、設定を編集する場合に3回ボタンを押さないといけないケースもあると思います。すべてのプラグインで NP_TrackBack の例のように今までどおり使えるようになるまで、しばらくの間ご辛抱いただければと思います。

ご迷惑をおかけしますが、よろしくお願いします。

オフライン

#15 2006-11-30 12:07:19

PUSHMAN
メンバー
登録日: 2004-08-15
投稿: 60
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

ご対応ありがとうございます。
無事編集できるようになりました。


マーカーのドラッグ&ドロップでGoogle Mapsの緯度経度を測定|Geocoder
http://geocoder.heartfield-web.com/

What's so bad about feeling good?
http://blog.heartfield-web.com/

オフライン

#16 2006-11-30 14:14:07

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_MediaFiles について管理画面の脆弱性を解消したバージョン、1.01.8をアップしました。以前のバージョンでもNP_0TicketForPluginで対処可能ですが、新しいバージョンにアップグレードすることを推奨します。

PUSHMAN さんの発言:

ご対応ありがとうございます。
無事編集できるようになりました。

うまく対応できたようで、ほっとしています。ご報告、有難うございました。

オフライン

#17 2006-12-01 15:57:51

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_Database に関して、NP_0TicketForPlugin に頼らずに管理画面の脆弱性を解消したバージョンをアップしました。

NP_0TicketForPluginでも今回発見された脆弱性は回避できますが、新しいバージョンはさらに強固なセキュリティーになっています。ご使用の方はアップグレードをお願いします。

追記: 最初、jun さんの NP_Database の最新バージョンを間違えて改変してしまっていました。現在は、最新版(jun さんの0.20)に管理画面のセキュリティーを向上させたものになっていますので、必要な方は再ダウンロードしてください。12/7 現在の最新版は、0.26 です。

<!-- l --><a class="postlink-local" href="http://japan.nucleuscms.org/bb/viewtopic.php?p=15638#15638">viewtopic.php?p=15638#15638</a><!-- l -->

オフライン

#18 2006-12-07 14:51:00

Andy
メンバー
登録日: 2004-03-18
投稿: 1,495
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_Analyzeに重大な脆弱性が発見されました。ログインしていないユーザーに操作されてしまう恐れがあります。この脆弱性を解消するにはNP_0TicketForPluginの最新版(1.2.8.1a)をインストールしてください。

また,NP_Analyzeに限らず,「管理画面に脆弱性があるプラグインの危険を避けるためアンインストールしている」ケースがあると思いますが,プラグインの管理画面はアンインストールした状態でも呼び出し可能なため,ファイル自体削除しないと脆弱性は回避できません。NP_0TicketForPlugin最新版はこの問題にも対応しています。

独自の管理画面を持つプラグインを使用している全ユーザーにインストールを強くお勧めします。

オフライン

#19 2006-12-10 09:22:30

ゲストユーザー
ゲストユーザー

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

NP_0TicketForPluginの最新版(1.2.8.1a)をインストールしましたが、こういう使い方はできなくなりましたでしょうか?

うちのサイトでは、NP_Pholiotを改造して使用しています。
NP_Pholiotoは、pholiot.swfが表示する画像を表示するためのxmlファイルを生成しますが、このxmlファイルを直接生成せず、.htaccsesでの指定で、あるフォルダの index.php&blogid=x にアクセスするようにしています。
つまり、フラッシュファイルから、Nucleusのブログにアクセスする形ですが、新しいバージョンをインストールすると、そのxmlファイルにアクセスすることができなくなりました。

こういう使い方は、セキュリティ上問題がある運用だったということでしょうか?

#20 2006-12-10 09:25:41

サクラキャンドル
メンバー
登録日: 2004-08-25
投稿: 164
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

すいません、ログインしないで投稿して、編集できませんでした。

NP_Pholiotoは、pholiot.swfが表示する画像を表示するためのxmlファイルを生成しますが、このxmlファイルを直接生成せず、.htaccsesでの指定で、あるフォルダの index.php&blogid=x にアクセスするようにしています。

これは、
-------
NP_Pholiotoは、pholiot.swfが表示する画像を表示するためのxmlファイルを生成しますが、このxmlファイルを直接生成せず、.htaccsesでの指定で、あるフォルダの index.php&blogid=x にアクセスするように改造しています。
-------
の誤りです。改造無しのNP_Pholioioでは、この問題は発生しないはずです。


農場主の日常(管理人blog)
http://nojomaster.com/

オフライン

#21 2006-12-10 11:19:12

Andy
メンバー
登録日: 2004-03-18
投稿: 1,495
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

現状,index.php以外はセキュリティ・チェックの対象外としています。一部のプラグインでやはり直接呼び出すケースがあるからです。

このような使い方は潜在的にセキュリティ・ホールの元になる恐れがあるため中長期的には,ログインなしの外部からのアクセスはaction.phpに集約すべきだと思いますが,現状の使い勝手を大きく変えてしまうのも問題なので,そのようにしています。

したがって,index.php以外のPHPを呼び出すように修正していただければ動くと思います。

オフライン

#22 2006-12-10 21:09:38

サクラキャンドル
メンバー
登録日: 2004-08-25
投稿: 164
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

なるほど。
Pholioto用のXml吐き出し用index.phpを他の名前に変更し、.htacseccファイルの内容を書き換えたところ、問題なく動作しました。

とすると、最終的にaction.phpにアクセスするように改造した方がよさそうですね。少し考えて見ます。


農場主の日常(管理人blog)
http://nojomaster.com/

オフライン

#23 2007-05-03 00:47:21

shotanaka
メンバー
From: 横浜
登録日: 2005-11-22
投稿: 15
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

Nucleus 3.3を使用している場合には、本プラグインは不要なのでしょうか?
また、NP_0PatchBlogidについても教えていただけないでしょうか?
よろしくお願いします。

オフライン

#24 2007-05-03 02:22:38

Andy
メンバー
登録日: 2004-03-18
投稿: 1,495
ウェブサイト

Re: 管理画面を持つプラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

shotanaka さんの発言:

Nucleus 3.3を使用している場合には、本プラグインは不要なのでしょうか?
また、NP_0PatchBlogidについても教えていただけないでしょうか?
よろしくお願いします。

3.3にはこれらの修正は取り込んでいるので,どちらのプラグインも不要になります。

オフライン

Board footer