- 2023年9月4日 更新
JVNのサイトで脆弱性情報が公開されたのにともない本アドバイザリーへ掲載
JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同運営するJVNに、SHIRASAGI における脆弱性が公開されました。
この脆弱性は v1.17.0 以前のシラサギに存在し、v1.18.0 で修正されています。
修正方法
SHIRASAGI本体の更新に加え nginx 設定(apache httpd をご利用の場合は apache httpd 設定)の変更が必要で、手順は以下の通りとなります。
- SHIRASAGI 開発マニュアルのSHIRASAGI の更新を参考にSHIRASAGI本体をv1.18.0へバージョンアップする。
- nginx をご利用の方は、SHIRASAGI 開発マニュアルのNginx のインストールの(2) プロキシーの設定を参考に、HTML ファイルに対して "Content-Disposition: attachment" ヘッダを付与するように修正。
- apache httpd をご利用の方は、SHIRASAGI 開発マニュアルのApache のインストールの(2) VirtualHost設定を参考に、HTML ファイルに対して "Content-Disposition: attachment" ヘッダを付与するように修正。
SHIRASAGI 反射型クロスサイトスクリプティング (CWE-79) - CVE-2023-36492について
この攻撃を成立させるには、下記のいずれかの条件が必要となります。
- 被害者を以下のような URL に誘導する。
https://(グループウェアが動作するドメイン)/.g1/schedule/todo/-/readables/64046161e138237ff2c15eae?calendar[path]=javascript:alert(0) - 被害者が画面上部の「カレンダーへ戻る」ボタンを押下すると攻撃が成立し、calendar[path]に指定したJavaScriptが実行される。
SHIRASAGI における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-38569について
この攻撃を成立させるには、下記のいずれかの条件が必要となります。
- SHIRASAGI にクロスサイト・スクリプティング脆弱性が組み込まれた HTMLファイルをアップロードする。
HTMLファイルの内容:<script>alert(0)</script>
- アップロード機能は掲示板、ToDo、ワークフローなど、各所に存在し、同様の問題が存在する。
SHIRASAGI におけるディレクトリトラバーサル (CWE-22) - CVE-2023-39448について
この攻撃を成立させるには、下記のいずれかの条件が必要となります。
- 次のような内容を持つ細工したzipファイルを作成する。
Date Time Attr Size Compressed Name ------------------- ----- ------------ ------------ ------------------------ 2023-08-01 09:00:00 ..... 2500 2500 ../../../../../../../../../var/www/shirasagi/app/views/layouts/ss/login.html.erb ------------------- ----- ------------ ------------ ------------------------ 2023-08-01 09:00:00 2500 2500 1 files
- シラサギのオープンデータサイトにログインし、データセットフォルダーにアクセスする。
- 上部メニューのインポートから 1 で作成したファイルをアップロードする。
- 任意の階層のファイルへの書き込みや、erb ファイルの改ざんなどによる任意のコードの実行が可能。
1で例示したzipファイルのアップロードすると、ログイン画面が書き換わる。
