FuelPHPの脆弱性への攻撃を再現出来たけど公開していいものなんだっけ

by @dekokun on 2014/07/25 00:11

Tagged as: PHP, FuelPHP.

概要

FuelPHPの脆弱性への攻撃を再現出来て嬉しいんだけど、こういうのって公開していいものなの?

詳細

JVN#94791545 FuelPHP において任意のコードが実行される脆弱性に書かれている脆弱性を突く攻撃を再現できそうだったので再現に努めた。

無事再現出来たんだけど、こういう攻撃方法って、あんまり外に出しちゃいけないんですか。どうなんですか。

  1. 公開したら攻撃したい人が喜ぶだろ
  2. 公開して危険さを広めることで皆のバージョンアップを促そう

という2つの立ち位置がある感じがする。

まぁ、そもそも今回の脆弱性への攻撃はやり方を公開したところで普通の人はどうにもできない感はある。攻撃相手サーバの通信先に、攻撃コードを埋め込む必要があるので…

結論

serializeされて渡された文字列をデフォルトでunserializeするような実装にしているのはさすがにもっとちゃんとしてくださいという気持ち。まぁ、私もちゃんと気をつけたいです。

FuelPHP、この脆弱性対応で、1.7.1と1.7.2というマイナーバージョンアップにもかかわらずRequest系クラスのインターフェースが結構変わってしまった感あるのだが大丈夫なのだろうかという気持ち。

comments powered by Disqus