2019年3月6日
転載歓迎

メッセージ機能の脆弱性について

concrete5 のユーザーが個人間でメッセージのやり取りができるプライベートメッセージ機能において、脆弱性が発見されました。

プライベートメッセージ機能を使っているサイトは全て concrete5.6.4.0、concrete5 8.4.5 にアップグレードをしてください。

本 concrete5 日本語公式サイトは、脆弱性が発表された 2/27 に修正パッチを適用済みです。

尚、 concrete5.6.x は日本語を利用するために独自のパッチを付与しています。日本語パッケージリリースをお待ちいただくか、GitHub より修正パッチを取得・適用ください。

以下、concrete5.org でのお知らせの翻訳です。


2019/2/11 に、ログインユーザーが特定の動作で任意のメッセージを閲覧できた脆弱性が報告されました。個人を特定をされるような情報はリークされておりません。concrete5 のレポジトリに 2/15 に追加され、2/20 (水) に concrete5.org に適用しました。

全ての concrete5 は 8.4.5 もしくは 5.6.4.0 へのアップグレードをするべきです。concrete5.org ウェブサイトもアップグレードされメッセージの脆弱性はもうありません。脆弱性をついや情報漏えいなども確認されませんでした。

日本時間 2/12 (火) 午後5時に Mlocati が concrete5.8.4.x ブランチに、ログインユーザーがメッセージの ID を変更するだけで他人のメッセージを見ることができる脆弱性の修正パッチを送りました。このバグでは既存データをできませんし、編集管理画面にアクセスはできません。ユーザー属性を露出されるようなものでもありません。メッセージの返信やコンテンツの作成ができるようでもありません。ただし、個人間のやり取りのはずであるメッセージを露出させることができ、特定のサイトではセキュリティに深刻な影響を与えかねません。我々はこの事案を最優先・ハイリスク事案として取り扱いました。

日本時間 2/20 (水) 2:39 に A3020 が脆弱性は concrete5.org にも存在することを報告しました。

日本時間 2/21 (木) 4:02 に concrete5.org に修正パッチを適用させたことを A3020 に報告しましたが、この修正パッチはメッセージの返信ができないというバグが生まれましたが、2/23 までに修正されました。

日本時間 2/23 (土) に、5.6 はサポート期間内であることからパッチのリリースを決定。2/24〜25にコアチームとコミュニティメンバーで、8.4.5 と 5.6.4.0 のリリース作業を開始しました。

日本時間 2/26 (火) に、PortlandLabs で保守サポートを行っているクライアントに脆弱性を報告、修正パッチを適用しアセスメントを行いました。

concrete5.org のログを解析し、脆弱性をついた攻撃がシステマチックに行われていないかを確認しましたが、システマチックな侵入は無いことを確認しました。

この脆弱性はクレジットカード情報などを含んだ個人を特定できる情報には影響を与えないことも仕様で確認済みです。これはマイアカウント - プライベートメッセージエリアで個人情報を入力してしまったユーザーのみに影響を与えます。

concrete5.org 上では、本番環境のパスワードやログイン情報を送らないようにしてください。また、(送ってしまった方は)残さないようにお願いします。

2019/2/26 に concrete5.org のメッセージエリアに、メッセージの一括削除機能を追加しました。これは自分宛もしくは自分から送ったメッセージを一括で削除できるものです。もし、concrete5.org のメッセージ機能を通じて、重要な情報を送ってしまった方はこの(一括削除)機能を使うと古いデータをすべて削除することができます。この(一括削除)機能を今後保持していくかどうかは未定です。

concrete5 をオンラインコミュニティとして、ユーザーアカウントの受信箱機能を利用しているのであれば、concrete5 8.4.5 に早急にアップデートしてください。

もしも concrete5.6 以下をお使いの方で、受信箱機能をお使いの方は、5.6.4.0 にアップグレードしてください。また、このバージョンは古くなったので 8.4.5 に移行完了するようお願いします。

最後に、A3020氏Mlocati氏 と Remo 氏をはじめとする皆さんのおかげで、この問題を安全に解決できることができたことを感謝します。セキュリティは常に我々の再優先事項です。

 

以上