PivotXを利用されている方は最新版にアップデートするべし (was: PivotXを利用されている方は2.2.5以降へアップデートするべし CVE-2011-1035)

2011/10/8追記: WordPress TimThumb RFI Vulnerability used as Botnet Recruitment Vectorにあるようなurlがquery string上で目立つTimThumbを狙ったアクセスを頻繁に観測していますが、PivotXも2.3.0のリリースノートでさりげなく書いてあるように本体がTimThumbを搭載しています。常にリリース状況を確認して最新にされることをお勧めします。なおこの問題に脆弱なPivotXのfingerprintingも、多くのケースでそうであるようにヘッダも含めてバージョン表示を消したところで即時に可能です。

2011/2/19追記: CVE-2011-1035, Vulnerability Note VU#175068

2011/2/14: PivotX 2.2.4がリリースされても告知が無く、SourceForgeにもリリースのアーカイブファイルがアップロードされないのでどうなっているのか見てたところ、フォーラムで開発チームからいくつか発言が出てきました。

2.2.4は緊急セキュリティ修正、そしてまもなく2.2.4での修正による悪影響を修正した2.2.5が~~出てくるそうです~~2011/2/17早朝に2.2.5リリースされました。SourceForgeにも置かれています。実際に攻撃があったことが複数報告されています。開発チームは詳細の公開を望んでいないようですが、結構誰でもすぐにわかってしまうかも…というかそもそも攻撃が現在進行形であるようなので可及的速やかに~~2.2.4、そしてリリースされ次第~~2.2.5以降にアップデートする必要があることになります。 http://pivotx.net/ の下の方にある最新情報を軒並み注意しておくとよろしいかと思います。アップデートだけではなく images/ と pivotx/templates/ を含むすべてのフォルダにmalwareが置かれていないことも要確認です。必要の無いファイルがある場合はダッシュボードに注意をうながすメッセージが出るようですが、出ないからと安心してしまわないようにしたいものです。全員のユーザ名が予測困難なものであることの確認とパスワードの変更を検討された方がよろしいかもしれません。

直接この問題とは関係無く、admin,system,pivotxなどの容易なユーザ名や、簡単にblogエントリから推測できるようなユーザ名は使用しないことを周知するとよろしいです。またCSRFはかわせないですがscript kiddieによる外部からのpivotx/index.phpへの直接攻撃には、例えばApache HTTPDで10.1.2.128/25,192.168.0.0/16からしかログインできないようにして良い状況でサーバ設定ファイルが変更できるのであれば

<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   Order Deny,Allow
   Deny from all
   Allow from 10.1.2.128/25
   Allow from 192.168.0.0/16
</locationMatch>
とか
<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   <RequireAny>
     Require ip 10.1.2.128/25
     Require ip 192.168.0.0/16
   </RequireAny>
</locationMatch>

Order Deny,Allow

Deny from all

Allow from 10.1.2.128/25

Allow from 192.168.0.0/16

</locationMatch>

とか

Require ip 10.1.2.128/25

Require ip 192.168.0.0/16

</RequireAny>

</locationMatch>

さらに403では無くてリダイレクトさせるには追加で

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$    /$1/? [R=301,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$ /$1/? [R=301,L]

.htaccessしか使えない場合はyourblogdir/pivotx/.htaccessファイルを作成して

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

(yourblogdirはそれぞれの環境に合わせて)程度の制限をしておいても良いかもしれません。くどいようですがCSRFはこれでは防げません。pivotx/index.phpを利用した直接攻撃だけに対する限定的な緩和策で、基本は常に最新版へのアップデートです。

なおこの問題に脆弱なPivotXのfingerprintingは、多くのケースでそうであるようにヘッダも含めてバージョン表示を消そうとも即時に可能です。

2011/2/22:

netname: VODAFONE-TURKEY-3G-46-106
descr:   Vodafone Turkey 3G IP Pool
country: TR

netname: VODAFONE-TURKEY-3G-46-106

descr: Vodafone Turkey 3G IP Pool

country: TR

から、google.com.tr の検索語 “inurl:jp pivotx” のSERPがReferer:の攻撃を観測しましたよ。

2011/2/17早朝:2.2.5がリリースされてSourceForgeにも置かれました。

2011/2/16朝:pivotx.netさきほど復活しました。

2011/2/15現在:pivotx.netがある共有サーバがダウンしてSourceForgeでも2.2.4以降のリリースとしてのアーカイブは入手方法がありませんが、SVNにコミットされたリリース前版は入手可能です:

http://sourceforge.net/projects/pivot-weblog/develop
http://web.archive.org/web/20160416045740/http://book.pivotx.net/page/1-2 trunk は現在2.3pre-alphaだそうなので、2.2系利用中の方は2.2.xのbranchが良いかと思います。SVN無しでもSorceForgeのレポジトリからのtar機能も一応使えます。リリース前なのでバージョン表記の変更が入ってませんが、 svn co した場合は pivotx/lib.php の $Rev$ が 3505 以降になっているはずです。なおリリースのアーカイブに含まれるextentionsは別途取得となります。gettextの.poファイルはPixotXの実行時に必要ありません。
- svn co https://pivot-weblog.svn.sourceforge.net/svnroot/pivot-weblog/branches/2.2.x 2.2.x
- http://pivot-weblog.svn.sourceforge.net/viewvc/pivot-weblog/branches/2.2.x/

kana.me 要

PivotXを利用されている方は最新版にアップデートするべし (was: PivotXを利用されている方は2.2.5以降へアップデートするべし CVE-2011-1035)

コメントを残すコメントをキャンセル

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル