Yuriko.Net 個別記事

2008-07-17
晴れ

SOMY 製プラグインはインストール禁止

ゆりこ による 01:07:29 の投稿
カテゴリー: WordPressハック
タグ: ,

SOMY プラグインがリストアップされた画面

かつて、WordPress 向けに有用なプラグインを提供されていた SOMY さんですが、SOMY さんが制作したプラグインすべてに、セキュリティー欠陥があることが分かりました。それは「プラグインの PHP ファイルに script 要素が埋め込まれていて、WordPress 2.0.x 以前 (2.0 を含む) で、管理画面のプラグイン一覧でリストされたときに実行されてしまう。」というものです 。プラグインをインストールするだけで発生し、停止していても script が実行されます。

画面のバージョン数字の部分に script 要素があって、XHTML ソースは次の通りです。

<td class='vers'>1.0<script src="http://wp.somy.jp/up_check/?f=logined-publish&v=1.0"></script></td>

この script 要素は、おそらくバージョン確認が目的だと思われます。今のところ、サーバー側 API が停止しており、何の反応もありませんが、将来 wp.somy.jp がクラックされたり、SOMY.JP ドメインが失効して他人に渡ったりして、悪意あるコードが設置された場合は非常に危険です。なお、WordPress 2.1 以降では、script 要素が削除されてから管理画面に表示されるので安全です。

対象プラグインは以下の通りです。

[このセクション追加] WordPress 2.0 以前で当該プラグインを使用している場合は、WordPress の管理画面を *開かずに*、FTP/SFTP ツール等で、サーバーのプラグインディレクトリー (wp-content/plugins/) から当該プラグインを削除してください。管理パネルでプラグインを無効にする必要はありません (というか、管理パネルに入ると危険です)。

以下のツールは、厳密にはプラグインではなく、WordPress のプラグイン一覧にリストアップされないので、この問題はありません。しかし、別のセキュリティー欠陥が存在する可能性は否めません。

ドキュメントに「プラグインには、バージョンチェック用の JavaScript が入っています」という記述があればマシなのですが、そういう記述が一切ないため「バックドア」と認定していいでしょう。SOMY さんは去年あたりから活動を停止されており (2007年9月9日のコメントが最新)、プラグインの更新もされていません。リリースされたプラグインはすべて古くなっており、WordPress 2.3 以降に対応していないものも多くなっています。このため、すでに「SOMY 製プラグインは (古いため) 使うべきではない」という状態だったのですが、こんなバックドアが埋め込まれているとすれば、「インストール禁止」と言うべきでしょう。WordPress 2.1 以降では問題ないとはいえ、バックドアを作ってしまうような作者のコードは、他の部分も信用しない方が無難です。

SOMY さんが現在活動中であれば、直接連絡するなり IPA に通告するなりして改善をお願いするのですが、そうではないため、この場をもって多くの人に警告するしかありません。その点が非常に残念です。

逆に言うと、この問題は、WordPress 2.0 自体の欠陥とも言えます。2.0 ブランチは一応現役なだけに 2.1 以降での修正をバックポートしてもらいたいのですが……。→ ME 2.0 については自分で直してしまえばいいのだった ;-)

「プラグイン10選」で SOMY プラグインを挙げられている人にピンバックしてみましょうか。おそらくみなさん WordPress 2.1 以降なので安全だとは思いますが。(追記: その他にも使っているユーザーを見つけたら追加します)

[追記 2008-08-20] チケット #7325 を切って報告しましたが、WordPress 2.0 ブランチでの修正は望めそうにありません。「SOMY プラグインというヤバイ例がある」と書いてみたものの、期待薄ですね……。本家が修正しないとしても ME で修正するのは自由なわけですが、あまり本家と差異ができるのは嫌なので避けたいところです。となると、地味に「SOMY プラグインは危険」と告知するしかないのかな。

上に戻る
« 複数プラグインの有効化・無効化に未対応  サーバー復旧 »

トラックバック・コメント »

  1. [...] Yurikoさんの『SOMY 製プラグインはインストール禁止』を見て、まぁ利用しているWordPressのバージョンから考えても一応問題ないわけですが…確かに一種の「バックドア」コードなのでキ [...]

    Slashcolon /: » スパム対策プラグインを変更しましたからのピンバック2008年7月17日 09時38分21秒
    返信する »

  2. WordPressフォーラムで、物凄く沢山のトピックにお答えしていらっしゃったので、自然と行き着いてしまいました。

    それにしても、素晴らしいプラグインの配布や、素晴らしい判断での対処など、尊敬しまくりです!

    これからも、頑張って活動してください!

    応援しております(´-ω-`)b

    まちょからのコメント2008年7月18日 00時24分53秒
    返信する »

  3. [...] SOMY 製プラグインはインストール禁止 @ Yuriko.Net [...]

    Re: SOMY 製プラグインはインストール禁止 (From: Yuriko.Net) » Telminaからのピンバック2008年7月18日 02時29分48秒
    返信する »

  4. こんにちは
    『四月階段』というウェブログを細々と運営しております右京と申します。

    先日は、SOMYさんのプラグインについてご指摘いただきまして、
    ありがとうございました。
    早速、ご指示通り、プラグインを削除いたしました。

    ところで、エントリの中で拙ウェブログの記述があるようですが、
    お手数とは存じますが、削除願えますでしょうか。
    お忙しいことと存じますが、よろしくお願いいたします。

    右京からのコメント2008年7月18日 16時26分04秒
    返信する »
    • ところで、エントリの中で拙ウェブログの記述があるようですが、
      お手数とは存じますが、削除願えますでしょうか。

      理由がよく分からないのですが、記述が残っていると恥しいから、とかでしょうか?

      ゆりこからのコメント2008年7月18日 20時46分44秒
      返信する »

      • 右京でございます。
        理由は、拙ウェブログは多くの方にお目通し願うようなウェブログではなく、
        個人的な内容が多く含まれているためです。
        以上、ご理解いただきますよう、お願い申し上げます。

        右京からのコメント2008年7月19日 06時27分43秒
        返信する »
        • 理由は、拙ウェブログは多くの方にお目通し願うようなウェブログではなく、
          個人的な内容が多く含まれているためです。

          サーバーがトラブってて返事が遅くなりました。
          理由は分かりましたが、それだと、こちらからのリンクを削除してもあまり意味がないと思います。今回、貴サイトを発見したのは、ブログ検索エンジン (テクノラティーや Google 等) によるものです。つまり、すでに誰でも世界中から簡単にアクセスできる状態となっています。当サイトから貴サイトへの流入がどれだけあるかは不明ですが、おそらくはさほど多くはないと思われます。
          とりあえず del タグで囲っておきますが、この対応で了解頂けますようお願いします。

          ゆりこからのコメント2008年7月21日 06時27分43秒
          返信する »

          • 所用により、お礼が遅くなりました。
            ご理解賜り、ありがとうございます。
            この度はご注意いただき、感謝申し上げます。

            右京からのコメント2008年7月21日 10時42分21秒
            返信する »

  5. Re:SOMY 製プラグインはインストール禁止

    MasayanさんのTB企画に乗っかってみたところ、ゆりこさんよりピンバックが。
    どうやら、私がWordPressで使っていたWordPress:SOMY.JP » SOMY SpamBlock JP スパム対策プラグインが対象になって…

    LOVE!?からのトラックバック2008年7月21日 20時31分49秒
    返信する »

  6. WordPress: 半角文字のみのスパムを一網打尽にするスパム対策プラグイン

    このブログにも,凄い数のコメントスパムやトラックバックスパムが来る.そのほとんどは,WordPressに標準搭載されている”akismet”というスパム対策プラグインが捕捉してくれる.…

    Chase Your Dream !からのトラックバック2008年8月20日 11時28分58秒
    返信する »

  7. [...] 設置後、わずか2日でComment Spamの第1号が来ていたので、P_BLOG、Loggixで有効だった「日本語を含まないコメント・トラックバックを弾く」手段がないかとググった結果、SOMY SpamBlock JapaneseというPluginを導入することにしました。 2005年3月以降バージョンアップされていないようですが、とりあえず正常に動いているようです。 また、バックドアが実装されている指摘もありましたが、同等機能のある代替Pluginが見つからないし、wp2.1以上であればどうやら問題ないようなので、気にしないことにしました。 [...]

    Ganesha's Field Notebook. - SOMY SpamBlock Japaneseからのピンバック2009年6月27日 05時06分32秒
    返信する »

  8. [...] ress 2.1 以降では問題ありません。 ここで公開していたプラグインについてバックドアが含まれているという指摘がありましたが、新しいバージョンがリリースされた際にお知らせをして [...]

    WordPress:SOMY.JP » Blog Archive » おしらせからのピンバック2009年7月12日 20時28分50秒
    返信する »

上に戻る

※スパム対策プラグインの影響により、すぐにトラックバックが反映されない場合があります。お手数ですが、半日ほど待ってみてください。

コメント投稿

※発言の責任を明確にするため「名無し」「通りすがり」「匿名希望」等の匿名は不可とします。捨てハンドルでもいいので必ず名乗ってください。
XHTML (使えるタグ): <a href="" title="" ktai=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt=""> .
※スパム対策プラグインの影響により、すぐにコメント内容が表示されない場合があります。お手数ですが、半日ほど待ってみてください。

上に戻る