Apache Roller Patches CSRF Flaw CVE-2024-46911 in Latest Update
2024/10/13 SecurityOnline — 人気の Java ベースのブログ・プラットフォームである、Apache Roller に対するセキュリティ・アップデートがリリースされた。このアップデートで修正された、深刻な CSRF (Cross-site Request Forgery ) の脆弱性 CVE-2024-46911 により、攻撃者はマルチ・ユーザーの Roller サイト上で権限昇格の可能性を得る。
Apache Roller の VP である Dave Johnson は、「複数のブログやユーザーが利用する Roller サイトでは、任意のブログ・コンテンツを公開する権限が、ブログ所有者にデフォルトで与えられている。そのため、Roller の CSRF 保護の欠陥と相まって、権限昇格攻撃を許してしまう可能性が生じる。この脆弱性は、Apache Roller 6.1.4 未満に影響を及ぼす」と、セキュリティ・アドバイザリで説明している。
この脆弱性 CVE-2024-46911 は、深刻度 “important” と評価されている。この脆弱性の悪用に成功した攻撃者は、信頼されているブログのオーナー権限を悪用して、承認されていない操作を実行できるため、ブログ・プラットフォーム全体が危険にさらされる可能性が生じる。
この脆弱性を軽減するための、いくつかの重要なセキュリティ強化策が、Apache Roller 6.1.4 に導入されている。
- より安全なデフォルト設定:デフォルトでの悪意のコード実行を防止するために、HTML コンテンツは無害化された。さらに、カスタム・テーマとファイルのアップロードがデフォルトで無効化され、潜在的な攻撃経路が削減された。
- 改善された CSRF と XSS の保護:今回のアップデートには、ユーザー固有のワンタイム使用ソルトを使用するメカニズムが取り込まれ、CSRF と XSS (Cross-site Scripting) の保護が強化された。
- 依存関係の更新:Spring/Eclipse-Link JPA/Log4j/Lucene などを含む、20以上の依存関係の更新が実装された。
Johnson は、「マルチブログの Roller サイトを運営しているユーザーに対して、この問題を修正したバージョン 6.1.4 へのアップグレードを推奨する」と呼びかけている。
Apache Roller に、深刻な CSRF の脆弱性とのことです。ご利用のチームは、ご注意ください。 Apache Roller について、Wikipedia で調べてみたら、「OSS として提供される、Java ベースのフル機能/マルチブログ/マルチユーザーのブログ・サーバであり、あらゆる規模のブログ・サイトに適している。2002 年に、オープンソース開発ツールに関する雑誌記事のために作成されたものだが、FreeRoller.net (現在の JRoller.com) で人気を博し、後に Sun Microsystems/IBM developerWorks などで、従業員ブログの推進に活用された」と記されていました。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.