SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

SecurityとValidationの奇妙な関係、あるいは
DrupalはなぜValidationをしたがらないのか
HASHコンサルティング株式会社
徳丸浩

アジェンダ
• Drupalの2つの脆弱性
– Drupageddon(CVE-2014-3704)
– Drupalのログイン画面におけるDoS脆弱性(CVE-2014-
9999)
• Drupalの脆弱性とValidation
• Sec...

Drupalとは
Drupal（ドルーパル、発音: /ˈdruːpəl/）は、プログラム言語PHPで記述され
たフリーでオープンソースのモジュラー式フレームワークであり、コンテ
ンツ管理システム (CMS) である。昨今の多くのCMSと同様に、...

Drupageddon
Copyright © 2012-2014 HASH Consulting Corp. 4

Drupageddon(CVE-2014-3704)とは
• Drupal Ver7.31以前に存在するSQLインジェクショ
ン脆弱性
• 非常に危険性の高い脆弱性であるので、アルマゲド
ンをもじってドゥルパゲドンと命名された模様
• 日本では...

Drupalの脆弱性突く攻撃横行、「侵入されたと想定して対処を」
オープンソースのコンテンツ管理システム（CMS）「Drupal」に
極めて深刻な脆弱（ぜいじゃく）性が見つかった問題で、Drupalは
10月29日、脆弱性修正のパッチを直後に適...

Drupalのログイン処理のSQL文を調べる
Copyright © 2012-2014 HASH Consulting Corp. 7
name=admin&pass=xxxxxxxx&form_build_id=form-xQZ7X78LU...

$IN句生成の便利な呼び出し方だが… Copyright © 2012-2014 HASH Consulting Corp. 8 <?php db_query("SELECT * FROM {users} where name IN (:name...$

キー名をつけると
Copyright © 2012-2014 HASH Consulting Corp. 9
name[id1]=user1&name[id2]=user2
SELECT * FROM {users} WHERE name = ...

$空白付きのキー Copyright © 2012-2014 HASH Consulting Corp. 10 array(2) { [":name_1 xxxxx"] => "user1" ← :name_1 ではない [":name_2"] ...$

$バインド値のつじつまを合わせる Copyright © 2012-2014 HASH Consulting Corp. 11 array(2) { [":name_2 xxxxx"] => "" [":name_2"] => "user2" }...$

SQLインジェクションを試す
Copyright © 2012-2014 HASH Consulting Corp. 12
SELECT * FROM users WHERE name = 'user2' ;SELECT sleep(10) -...

脆弱なソース
// includes/database/database.inc
protected function expandArguments(&$query, &$args) {
$modified = FALSE;
// $args...

対策版
// includes/database/database.inc
protected function expandArguments(&$query, &$args) {
$modified = FALSE;
// $argsの要素...

Drupalのログイン画面におけるDoS脆弱
性(CVE-2014-9016)
Copyright © 2012-2014 HASH Consulting Corp. 15

16http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-005632.html より引用
想定される影響
第三者により、巧妙に細工されたリクエストを介して、
サービス運用妨害 (CPU 資源およびメモ...

巧妙に細工されたリクエスト…とは?
POST /drupal731/?q=node&destination=node HTTP/1.1
Host: example.jp
User-Agent: Mozilla
Cookie: has_js=1
...

$パスワードハッシュ値の計算部分 function _password_crypt($algo, $password, $setting) { // ... // Convert the base 2 logarithm into an inte...$

$対策版 function _password_crypt($algo, $password, $setting) { // Prevent DoS attacks by refusing to hash large passwords. if ...$

Drupalの脆弱性とValidation
Copyright © 2012-2014 HASH Consulting Corp. 20

Drupalとバリデーション
• Drupalは必要最低限のバリデーションしかしない
• ユーザ登録の際にはバリデーションをしている
– ユーザIDは60文字以下
– パスワードは128文字以下
• ログインの際は、バリデーションは何もしていな...

SecurityとValidationの奇妙な関係
Copyright © 2012-2014 HASH Consulting Corp. 22

徳丸本にはなんと書いてあるか?
◆ 入力値検証とセキュリティ
入力値検証の主目的はセキュリティのためではありませんが、
セキュリティのために役立つ場合もあります。入力値検証がセ
キュリティの役に立つのは以下のようなケースです。
• SQLインジ...

もう入力値検証はセキュリティ対策として *あてにしない* ようにしよう
スタックオーバーフロー対策をする場合、関数の入口でチェックすれば大抵対策可
能なんだけど、それだと対策漏れの可能性があるから、例えば、strcpyの代わりに
strncpy...

続き…まとめ
• 脆弱性対策はミクロな範囲で確認できることが望ましい
• 入力値検証による脆弱性対策は、検証と脆弱性発生箇所が離
れるので、確認がしにくい
• 入力値の仕様は変更の可能性があるので、入力値検証に頼っ
たセキュリティ施策は仕様変更...

入力バリデーションはセキュリティ対策として＊あてにする＊ものではありません
徳丸さんに返信した前のエントリのリンクに「もう入力値検証はセキュリティ対策
として *あてにしない* ようにしよう」とあったので補足しておきます。
そもそも入力バリデー...

まとめ
• Drupalのログイン処理ではバリデーションをしていない
• Drupalの開発者は、ミクロの対処にこだわっているように見
える
– おまえとは旨い酒が飲めそうだw
• しかし、頑なにバリデーションを拒否する必要もないように
思える...