JVNにより本日公開されたSKIPの脆弱性について

こんにちは、SKIP開発チームの松村です。

本日、JVNにて公開された SKIP の脆弱性について、ご説明いたします。
http://jvn.jp/jp/JVN03114223/
http://jvn.jp/jp/JVN43233160/
この件については、マイコミジャーナルに情報が転載されているものと同様です。
http://journal.mycom.co.jp/news/2009/05/11/023/

今回の2件の脆弱性は、ログインしていない攻撃者からの攻撃を受けるものではありません。
ログインしている状態のユーザが、攻撃を行なうことにより発生します。
今回の脆弱性では、ログインできないユーザが、データを取得/操作するといったことは不可能です。
SKIPは、アプリケーションの管理者によりログインできるユーザの管理が行なわれていますので、影響が少ないと考えられます。

対応の経緯は、以下のような流れでした。
4/22 JPCERTより、SKIPの脆弱性について報告を受けました。
その後、早急に対応を行ない、5/1にver1.0.2を利用中の方に向けてver1.0.3を ver1.1RC2を利用の方に向けver1.1.0をリリースいたしました。
http://www.openskip.org/ja/news/2009/05/01/skip-ver1-1-0/

リリースノート内でも案内しておりますが、ver1.0.2やver1.1RC2を利用している方は、 ver1.0.3やver1.1.0にアップデートしていただきますよう宜しくお願いいたします。
これまで、セキュリティーの脆弱性については考慮して開発を実施してきたのですが、 今回このような、脆弱性を対応できずリリースしてしまっていたこと大変申し分けなく感じております。
今後、セキュリティー観点をより高くして開発を行なっていきたいと思います。

今回の脆弱性を発見、報告していただいた 望月岳 氏には非常に感謝しております。
ありがとうございます。

Posted by mat_aki on Monday, May 11, 2009