各種 weblog ツールおよび weblog サービスの CSRF 脆弱性対応状況

この記事について

Movable Type における CSRF の可能性と各種対処法にて触れた脆弱性に対する、各種 weblog ツールおよび weblog サービスの対応状況を記録しています。

これは私が把握しているもののみ記述しています。 私が未対応と書いていても既に対応済かもしれませんし、私が対応済と書いていてもまだ穴が残っているかもしれません。

1. Movable Type
2. はてなダイアリー
3. sb
4. tDiary

Movable Type

2.x 、 3.x ともに未対応と思われます。

ユーザー側の自衛策として以下のようなものがありますので、参照してください。

mt.cgi のファイル名を変更

• Movable Type における CSRF の可能性と各種対処法
• Dullahan ---- 脳無しの呟き ----: Movable Type におけるセキュリティについて

weblog 内から直接 mt.cgi の各種編集機能に対してアンカーを配置している場合に、自分にのみ表示されるようにする

• brain-dump.com - Frontend Editing for MovableType
  • Thanks a ton.: AdminLinks Plugin
  • 自分にしか見えない [編集] リンクを作る | alectrope

Referer のチェックを行うようにする

• SG::Acme : attacking MT 2
• mt.cgi への自ドメイン以外からの POST を拒否する: blog.bulknews.net

ユーザーの権限を変更し、 weblog 自体の削除を未然に防ぐ

• おまえが踏まなきゃ誰が踏む！
• TAQ's BLOG: Attacking MT

ブラウザを、ブラウジング用のものと更新管理用のものとを使い分ける

• dev.ishinao.net: 外部URLからの（自動）POST攻撃への対策

mt.cfg の保護

• mtinstall - Movable Typeのインストール - mt.cfgの保護
  • Movable Type のマニュアルの記述だと mt.cfg は保護できない

削除の確認画面以外からの削除を不可にする

• Movable Type における CSRF の可能性と各種対処法

はてなダイアリー

2004 年 9 月 13 日対応済。 ( はてなダイアリー日記 - はてなダイアリーの不正な自動操作についての脆弱性について )

ただし、まだセキュリティホールが残っているかもしれません。 ( Another 朝顔日記 - はてなダイアリーの不正な自動操作についての脆弱性 )

sb

2004 年 8 月 13 日対応済。 ( sb - バグトラッキング | [B074] 管理操作に関する脆弱性 )

ver 0.20 時点で対応済となっています。

tDiary