2022年3月2日に確認した VALUE-DOMAIN でのサブドメインハイジャックが可能な脆弱性について経緯を説明します。
ついでに2016年の記事「VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について」の続報も含めて、この記事で2022年現在の VALUE-DOMAIN の状況についてお伝えします。
2022年3月2日に第一の脆弱性を、3月9日に第二の脆弱性を発見しました。これらについて順に説明します。
第一の脆弱性については、私よりも先に発見していた方がいます。その方から情報を聞いて検証し、私が IPA に届出したという経緯です。
ここは h2 のセクションです。このブログではPC版のみですが、見出し文言の左上に ::before 疑似要素でCSSによる自動ナンバリングを行っています。
ここは h3 のセクションです。
ここは h4 のセクションです
ここは h4 のセクションです
ここは h3 のセクションです。
ここは h4 のセクションです
body { counter-reset: n1 n2 n3 n4 n5 n6; }
h1 { counter-increment: n1; counter-reset: n2 n3 n4 n5 n6; }
h2 { counter-increment: n2; counter-reset: n3 n4 n5 n6; }
h3 { counter-increment: n3; counter-reset: n4 n5 n6; }
h4 { counter-increment: n4; counter-reset: n5 n6; }
h5 { counter-increment: n5; counter-reset: n6; }
h6 { counter-increment: n6; }
h1::before { content: counter(n1) "."; }
h2::before { content: counter(n1) "-" counter(n2) "."; }
h3::before { content: counter(n1) "-" counter(n2) "-" counter(n3) "."; }
h4::before { content: counter(n1) "-" counter(n2) "-" counter(n3) "-" counter(n4) "."; }
h5::before { content: counter(n1) "-" counter(n2) "-" counter(n3) "-" counter(n4) "-" counter(n5) "."; }
h6::before { content: counter(n1) "-" counter(n2) "-" counter(n3) "-" counter(n4) "-" counter(n5) "-" counter(n6) "."; }
こんな雰囲気のCSSを書いています。
「1章目」の例では、1, 1-1, 1-1-1, 1-1-2, 1-2, 1-2-1 となるべきです。
それがなんと Firefox の最新版で見たら 1, 1-1, 1-1-1, 1-1-2, 1-2, 1-2-3 となっていたのです。より分かりやすい図をお見せしましょう。
赤字と黒字が同じになるのが期待する状態ですが、Firefox ではバージョン82からこの挙動が変わって、自動採番の結果が異なるものになっていたのです。
特定の条件で発行したLet's EncryptのSSL/TLSサーバ証明書が無効化されるニュースが2022年1月26日(日本時間)に発表されました。該当者にはメール通知が届いており、jpドメインだけ見れば2月9日時点で7割ほどが対応済み(詳細は4章を参照)のようです。
29日の朝にSSLアクセス出来ないと慌てるサバ管が居るかもなので備忘録。SSL証明書にLet's Encryptを利用しているサイトで過去90日以内に更新している場合は手動で証明書を更新する必要があります。詳細は英語だけど添付のフォーラムで確認するのが原典なので張っときます。https://t.co/uFbiag3Q3z
— Go (@5harada) 2022年1月26日
通常、一度発行したサーバ証明書は期限(expires または notAfter と呼ばれるもの)までは正常な動作のために使用することができますが、期限内であっても何らかの理由で証明書が失効(revoke)させられることがあります。
Let's Encrypt の場合は certbot revoke コマンドを実行することで意図的に失効させることもできます。
失効しているかどうかの情報は証明書自体は持っていません。それは、ある事情で社員証を返すのが遅れ、退職日以降もその会社の社員証を持っているような状況に似ています。Webブラウザは、証明書が有効なものかどうかを別の手段で確認する必要があります。
この記事では簡単のため「Webサーバ」と「Webクライアント(Webブラウザ)」の関係で説明しますが、この記事の内容は「TLSサーバ」と「TLSクライアント」の間に成り立つ仕組みの話です。
ささみのほん!
— debiru / でびる (@debiru_R) 2019年5月21日
アウトプットしないのは知的な便秘! pic.twitter.com/Dskyy1Ffs3
「ささみjp」のDNSの回に行ってきました。「#ssmjpとは」にちらっと書いてあるけど、新橋で開催されていた勉強会で Shimbashi-Study-Meeting 略して ssmjp らしいです。
「浸透いうな」の @tss_ontap_o さんが「黒塗りのDNS (萎縮編)」をこの ssmjp で発表すると聞いて参加しました。
まだ詳細は書けないけど
— ちょまど🖋4/26(金)サイン会@秋葉原 (@chomado) 2019年3月12日
📆 来週の金曜日 3/22(金) の 19時から
ロッシェルさん @JICRochelle と
都内で英語系のイベントやる!💡
英語を学ぶ人(IT 技術者も)向けのイベント!
イベント「開催側」になったことは初めてなのであたふた中!
もし予定空いてる人は空けといてくれたら嬉しいです😍
2019年3月12日、ちょまどさんがロッシェルさんと「外国人とのコミュニケーションに関する英語系のイベント」の開催を予告。3月22日開催。
その日の夜にイベントページを作成して、翌日告知しようとしていたのだけれど、なんと告知前に参加申し込みが殺到。先着100人枠が一瞬で埋まった!
ちょまどさん、初のイベント開催でいきなり戸惑う。急遽、動画撮影の協力を募り、さらに4月5日に再演を決定。再演の方は先着ではなく抽選形式に変更。枠も200人に増えた。最終的に枠は280人まで増えた。
ちょまどの大発表
— ちょまど🖋4/26(金)サイン会@秋葉原 (@chomado) 2019年3月18日
(明日 3/19(火)朝7時にツイートします!)
予想アンケート
そんな中、2019年3月18日に突然「ちょまどの大発表」ツイートが。
この話の詳細は、3月22日開催のイベントに(先着100人なのに340番目くらいだったので)参加できなかった私が記念に書いた記事でも読んでください。
この記事は、4月5日の再演版に参加できた私の感想記です。
ところで、connpassのイベントページの抽選機能を使って再演版は200人の抽選にしたようですが、ちょまど氏は人力で抽選すると思っていたようです。そのため抽選材料として「参加の意気込みコメントの入力が必須」となっていました。(これさすがに公開されないと思うけど、みんな一体どんなこと書いたんだろう)。
みんなの予想、松屋が一番多い(笑)
【重大アナウンス】
— Madoka 🇺🇸4/27-5/8(水)米国なう (@chomado) 2019年3月18日
アメリカ人のロッシェルさんと一緒に、本を出しました!
『 #マンガでわかる外国人との働き方』
人生初出版です(ToT)
Amazon→ https://t.co/p5DGBzGGFy
1年半以上かかって、ついに発売となり嬉しいです!
私の考えた漫画31話+ロッシェルさんによる便利な英語フレーズ満載の本です
私の初めて書いた本 #マンガでわかる外国人との働き方 (ロッシェルさんとの共著)の
— Madoka 🇺🇸4/27-5/8(水)米国なう (@chomado) 2019年3月19日
紹介動画です!
ー
フルバージョン(2分30秒)はこちら!(YouTube):https://t.co/8Zh8fXlwyV
本はこちら! (Amazon):https://t.co/p5DGBzGGFy
ー pic.twitter.com/4UxxI5nSy5
「私が、光栄なことに、ぽぽー!ってなったわけですね(?)」のところ、突如語彙力が低下する感じ好きです。 (*゚▽゚* っ)З ぽぽー
Next debiru's HINT 「WebはWEBじゃない」