DotNetNuke 対応ホスティングサービスに、「at link 専用サーバサービス」を追加
DotNetNuke.jp 掲示板は、すべての DotNetNuke ユーザーのための情報共有の場です。単に質問・回答の場ではありませんし、回答義務もございません。運営メンバーも含め、DotNetNuke を日々学んでいる状況です。質問をする場合は、まずインターネットなどで自分自身でお調べいただき、その情報を共有する事をこころがけてください。
[注意] この文書は DotNetNuke Corporation による原文をもとに、日本 DotNetNuke ユーザー会が独自で翻訳し、解釈を加えたものです。原文との内容に相違が生じる場合は、原文が優先されます。
公開日:2008年5月27日 文書バージョン:1.0 セキュリティの重要度:緊急
背景: DotNetNukeでは、様々なモジュールでリッチテキストエディタを使用しています。 アプリケーションは FTB(FreeTextBox) や FCK Editor といったポピュラーなエディタコントロールを標準サポートしており、プロバイダーモデルを使用して、ユーザーはこれらのコントロールを自由に選択し、使用することができます。これらのリッチテキストエディタコントロールでは、ポータルにおいて URL やページ、ファイルを選択する手段を提供する際、通常 DotNetNuke の UrlControl を使用します。また、ファイルに関しては、クライアントマシンからのアップロードにも対応しています。選択されたファイルは DotNetNuke API を通じてセキュアなファイルシステムまたはデータベースに保存されます。
問題の概要: リッチテキストエディタコントロールの一部および FileSystem API に権限のないユーザーによるファイルの書き込みを許可する脆弱性が存在します。 これにより、攻撃者がこの脆弱性を悪用し、不正なファイルをサーバーにアップロードする可能性があります。
問題を緩和する要素: FileSystem API には「安全な」ファイル拡張子を確認するためのロジックが組み込まれています。 DotNetNuke 「ホスト設定」機能による「安全な」ファイル拡張子は、既定の設定ではごくわずかなものに設定されているため、アップロードはテキストファイルや JPG(JPEG)、GIF といったファイルに限定され、ASPX や ASP などのアプリケーションの動作に影響を及ぼす危険なファイルはアップロードすることができません。 (注記) この攻撃のペイロードは、拡張子の確認によるものに限られますが、匿名ユーザーによるリモートの攻撃という点から、問題の重要度を「緊急」に引き上げました。
影響のあるバージョン: 3.0 ~ 4.8.2
影響のないバージョン: 上記に含まれないすべてのバージョン
問題の対応策: 最新バージョン(4.8.3以降)へのアップデート
謝辞: Tomotoshi Sugishita ( DotNetNuke Japan User Group ) Mitchell Sellers
原文の参照先: http://www.dotnetnuke.com/News/SecurityPolicy/SecurityBulletinno17/tabid/1162/Default.aspx
DotNetNukeのセキュリティポリシー: http://dotnetnuke.com/SecurityPolicy/tabid/940/Default.aspx
翻訳担当: Tomotoshi Sugishita