FuelPHP 1.6.1 以下へのセキュリティ勧告(脆弱性)

セキュリティ勧告ページ

FuelPHP 本家サイトにセキュリティ勧告(Security Advisories)のページができました。

公開された 2件の脆弱性

そして、1.6.1 以下に影響する脆弱性 2件の情報が公開されました。いずれも、リスクは低とされています。

  • DB quote_identifier() の SQL インジェクションの可能性
  • xss_clean() の Unicode EM Space の処理の問題による XSS の可能性

いずれの報告も、三井物産セキュアディレクションの寺田さんによるものです。


DB quote_identifier() の問題は、1.7/develop で修正済みであり、1.6.1 以前には以下のパッチを当てることで修正できます。

EM Space の問題は、エスケープせずに出力した場合、いくつかのブラウザで問題になるようです。これは、FuelPHP が使用している htmlLawed というライブラリの問題です。

セキュリティ問題の報告先

また、セキュリティ上の問題についての報告は、コンタクトフォームからするように明記されました。

脆弱性情報がいきなり公開されてしまうと、開発元が修正版を用意することができず、ユーザが脆弱性に対応することできない状態で、公開された情報に基づき攻撃されるリスクが高まります。

脆弱性を発見した場合は、いきなり自分のブログで公開したり、公開されている ML やフォーラムに書き込んだりせず、開発者の指定した報告先や、あるいは IPA へ報告するようにしましょう。