「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記

更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ

[sho]

緊急パッチの実装から、この開発者は何が問題なのかぜんぜん理解してないことがわかって怖い。

[stealthinu]

PHPでIMのconvertを外部コマンド呼び出しで叩いているところ、入力元ファイル名等をそのまま埋めているためそこでコマンドインジェクションを発生していた。これをescapeshellargでくるんでやって対策。

[yagishita]

[

[sampaguita]

"J-WAVEの64万件の個人情報流出はこれが原因だったとされています"

[crema]

バケーション中なので、すっかり見逃してた。

[raimon49]

何でPerlじゃなくPHPなんだろうという点が最初の疑問だったが、記事の最初で丁寧に書かれていた。ケータイキットではImageMagickをPHPスクリプトから実行して画像変換しているそう。

[digitalglm]

「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記: 更新: 2016年4月26日12時10分頃 Movable Typeのプラグイン「ケータイキット for…

[ya--mada]

うお！まったく理解出来ない。作る奴もヒドイけど使う奴信じられない。

[you21979]

phpかぁ。リクエストでexecするコードとか昔だから許されたんだろうなぁ

[hnw]

PHPを書き始めた頃、なぜexecv(3)的なものが無いんだ？とか思った

[rryu]

思ったより何のひねりも無く脆弱だったが、いちおう対象のファイルが存在していなければエラーにしているっぽいので、そこを回避するのが難しいのだと思う。

[solidstatesociety]

手痛いキット

[pismo]

緊急パッチファイルでは脆弱性の修正が不十分だったのか。

[fashi]

「$execute="$convert $option $src $dest_temp";exec($execute);」 大胆。$srcはリモートファイルが使えるのかな

[mumincacao]

ImageMagick をしすてむこーるまでは予想通りだけど MovableType なのに PHP が出てくるとかなんかかおすなことなってるのです・・・ （・ｘ・；【みかん

[mh615033891]

そろそろコマンドライン叩くの禁止にするオプションを導入しよう。

[dasuton]

例の流出の原因

[ockeghem]

やはりImageMagicのconvertプログラムの起動方法に問題があったのですね

[MinazukiBakera]

久々に日記を更新:「ケータイキット for Movable Type」のOSコマンドインジェクションの修正」