ImageFolio 2.27が任意のアカウント作成攻撃を防止

◆概要：
　BizDesign社のウェブベースの画像アーカイブアプリケーションであるImageFolioのバージョン2.27に含まれている修正により、リモート攻撃者が特定のスクリプトにある脆弱性を悪用して有効なアカウントを作成できる問題が解決された。有効なImageFolioユーザー

国際海外情報

2002.6.21 Fri 12:00

◆概要：
　BizDesign社のウェブベースの画像アーカイブアプリケーションであるImageFolioのバージョン2.27に含まれている修正により、リモート攻撃者が特定のスクリプトにある脆弱性を悪用して有効なアカウントを作成できる問題が解決された。有効なImageFolioユーザーは、 http://host/cgi-bin/admin/admin.cgi のようなURLを通して管理エリアにアクセスできる。問題は、アカウントを持たないユーザーでも http://host/cgi-bin/admin/setup.cgi のようなURLを発行することにより自分のアカウントを作成できるというもの。

◆情報ソース：
　BugTraq (ET LoWNOISE, et@cyberspace.org), June 09, 2002

◆キーワード：
　Other: Server application

◆分析：
　(iDEFENSE 米国) 一旦、ユーザーが自分のアカウントを作成すると、それに伴って多くの活動が可能となる。例えば、任意ファイルのアップロード、暗号化されたパスワードの盗用、ウェブルートへのパスの検出などが含まれる。

◆検知方法：
　ImageFolio 2.2 Professional Editionで脆弱性が確認されている。

◆暫定処置：
　BizDesignでは、この問題に関して対応可能であり、インストール用マニュアルには、次に表示されている文が含まれている。

　「セットアップスクリプトにユーザーが直接アクセスして自分をユーザーとして追加することを防ぐには、setup.cgiの名前を変更し、この変更を反映するようにadmin_config.plの$setup_urlを更新する。最新情報:セキュリティチェックにビルドを持つため、バージョン2.27およびこれ以降のバージョンではこの操作を行う必要はない。」

◆ベンダー情報：
　登録ユーザーはバージョン2.27を
http://www.imagefolio.com/users/downloads/ で入手可能。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【14:04 GMT、06、13、2002】