LOGIN ID Password Auto Login Register Now! Lost Password?
XUGJ News
セキュリティ情報
セキュリティ情報 : docomoのJavaScript有効端末に関する脆弱性情報
投稿者 : gusagi 投稿日時: 2009-12-01 22:51:28 (4647 ヒット)
セキュリティ情報

モジュールの脆弱性ではありませんが、セキュリティに絡む情報なのでニュースに投稿いたします。

「iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性」が11/24に報告されています。(HASHコンサルティング株式会社:報告ページ)
docomoの端末またはゲートウェイの原因による脆弱性ではあるのですが、幾つかの条件を満たしている場合、この脆弱性により
 ・ユーザーの秘密情報が盗まれる
 ・ユーザー権限での物品購入、不正な送金といったサービスの悪用がされる
 ・ユーザー権限で不適切な内容の投稿、設定変更といったデータベースの更新がされる
などの可能性があるそうです。

この脆弱性により被害を受ける可能性があるのは、
 ・iモードIDによる簡単ログイン、あるいはセッション管理を行っている
 ・HTTPリクエストヘッダのHOSTフィールドをチェックしていない
を満たしている場合のようです。

携帯対応レンダラーは11/25付け、WizMobileは12/1付けでともに対応済みのバージョンがリリースされていますので、この脆弱性を受ける可能性のある方は、バージョンアップをすることをお勧めします。
なお、xmobileはiモードIDによる簡単ログインを利用していないため、今回の脆弱性による被害を受けることは無いと思われます。

また、今回の脆弱性はXOOPSに限らず、iモードIDを利用した簡単ログインを利用しているケータイサイト全てに影響がある可能性があります。
報告ページにも記載されていますが、iモードブラウザのJavaScript機能を無効にすることで、ユーザ自身が予防することも検討した方が良いかも知れません。

12/1 23:41
脆弱性の内容について、一部誤りがあったため修正しました。


コメント一覧

投稿ツリー

トピック


yoshis  投稿日時 2009/12/6 8:40 | 最終変更
gusagiさん、報告有難うございます。

引用:
なお、xmobileはiモードIDによる簡単ログインを利用していないため、今回の脆弱性による被害を受けることは無いと思われます。

xmobileは、モジュール一般設定で簡単ログインを使用可能にする事ができます。

この為、xmobileも対策としてHOSTフィールドのチェックを入れVer0.41としてリリースしました。(nao-ponさんのソースを参考にさせて頂きました。)
nao-pon  投稿日時 2009/12/2 8:25
gusagi さん、お疲れ様です。

携帯対応レンダラーについて補足です。

このところ、忙しいこともありパッケージングはまだしていないので、対策を施した hyp_preload.php のみ公開しています。

詳しくは、docomo iモードブラウザ2.0搭載機種での「かんたんログイン」の脆弱性対策 [nao-pon/blog/2009-11-25] - UsersWiki - XOOPSマニア をご覧ください。


Back to Page Top
MainMenu
Manuals
Search
XOOPS Official & Dev.
XOOPS Communities