From henoheno ＠ users.sourceforge.jp  Thu May 19 08:40:11 2005
From: henoheno ＠ users.sourceforge.jp (heno)
Date: Thu, 19 May 2005 08:40:11 +0900
Subject: [PukiWiki-announce 79] Errata: Default setting of file-attaching
	function allows XSS (- 1.4.5_1)
Message-ID: <4.0.1-J.20050519062017.00dbb700@vm02.highway.ne.jp>

PukiWikiユーザー各位:


PukiWikiの不具合に関するお知らせです。管理者の方は必ずご覧下さい。

PukiWiki.orgにも(凍結文書によって)公開しています。
http://pukiwiki.org/?PukiWiki/Errata

※この情報提供は、JPCERTの公開日決定に伴い、限定的に行われるものです。
　http://www.jpcert.or.jp/
　後日続報を行います。


------------------
* PukiWiki Errata

** Default setting of file-attaching function allows XSS (- 1.4.5_1)

- Category: default setting, plugin
- Module: attach.inc.php
- Announced: 2004-05-19(first)
- Affects: PukiWiki 1.4.x
- Corrected: Continuing

*** Problem Description (概要)

PukiWikiのattachプラグイン(ファイル添付機能)を利用したXSS(クロスサイトスクリ
プティング)が可能であることが解りました。XSSを通じて:
- 第三者が添付した任意のスクリプトを(添付したそのWikiサイトの権限で、閲覧者の
PCにおいて)実行する可能性があります。また、それによって:
-- 同じサーバー(ドメイン)でCookieを使用しているサービスがある場合に、Cookieを
盗まれる可能性があります。
-- Wikiサイトをフィッシング詐欺等に利用される可能性があります。

PukiWikiはデフォルトで第三者にファイル添付を許可しています。第三者にファイル
添付を許可していない設定あるいは構成にしているサイトはこの問題の影響をを受け
ません。

第三者にファイル添付を許可している場合、以下の「回避策」に従い、「第三者への
」添付ファイル機能の利用を禁止にするか、添付ファイル機能を無効にして下さい。

※この情報提供は、JPCERTの公開日決定に伴い、限定的に行われるものです。
　http://www.jpcert.or.jp/


*** Workaround (回避策)

予防措置: 「第三者によるファイル添付」を禁止する (下記のいずれかを実施する)
- (1) 1.4.5_rc1 以降のみ: pukiwiki.ini.php の先頭にある 定数 PKWK_READONLY の
値を 1 にする
-- ※この方法には副作用があります: PukiWiki全体がリードオンリーモードになるた
め、閲覧以外の多くの行為が同時に禁止されます。最も素早く実施/復旧する事が可能
ですから、下記にある他の対応を行う前の準備段階に利用する事もできます。この機
能の詳細は BugTrack/744 にあります
- (2) attachプラグイン(plugin/attach.inc.php)の先頭にある設定を変更し、管理者
だけが添付ファイルをアップロードできるようにする
-- 1.4.5_alpha以降: 定数 PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
-- それ以前: 定数 ATTACH_DELETE_ADMIN_ONLY の値を TRUE にする
- (3) attachディレクトリへの書き込み権限を取り除く (chmod a-w attach)
- (4) attachプラグイン(plugin/attach.inc.php)を削除する


*** Solution (解決策)
- 後日掲載します。

------------------