複数のウェブアプリケーションでセキュリティの脆弱性を発見

国際海外情報

2002.6.28 Fri 12:00

◆概要：
　Mewsoft、Auction Script、PHP Classified、eFax、csNews.cgi、Zeroboard、AlienForm等多数のウェブアプリケーションセキュリティに対応する、アップデートと暫定処置が発表された。一例として、クロスサイトスクリプティング攻撃がある。これらのアプリケーションは人気は高いが、クライアントサイドの全般的安定性が低いため、攻撃によって深刻な影響を受ける。また、全脆弱性に対する悪用コードとテクニックが一般公開されている。以下は、今回解決された脆弱性リストである。

・ MewSoft Auction 3.0のクロスサイトスクリプティングの脆弱性
・ PHP Classifieds 6.0.5のクロスサイトスクリプティングの脆弱性
・ eFax.comウェブサイトのクロスサイトスクリプティングの脆弱性
・ csNewsでリモートシステムコマンドを実行し、アプリケーションをハイジャックできる問題
・ ZeroBoardでリモートシステムコマンドを実行できる問題
・AlienForm2 1.5ファイルの暴露（ほとんどのシステムファイル)

◆情報ソース：
・ BugTraq (? o m e 1, exe@FlashMail.com), June 14, 2002
・ BugTraq (Steve Gustin, stegus1@yahoo.com), June 11, 2002
・ BugTraq (onlooker@cnun.xsdeny.net), June 15, 2002
・ BugTraq (Nick Cleaton, nick@cleaton.net), June 10, 2002

◆キーワード：
　Other: Server application

◆分析：
　(iDEFENSE 米国) クロスサイトスクリプティングの脆弱性とユーザー入力の不適切な検証は、今後もウェブアプリケーションの課題となり、アプリケーションのホストサーバとアクセスするクライアントにとっては、セキュリティの問題を引き起こしかねない。可能な場合はクライアント側でJavaScriptとActiveScriptを無効にし、全セキュリティアップデートを確実にインストールすることを推奨する。

◆検知方法：
　以下のバージョンで脆弱性が確認されている。
・ MewSoft Auction 3.0
・ PHP Classifieds 6.05
・ eFax.comウェブサイト
・ csNewsの全バージョン
・ ZeroBoardの全バージョン
・ AlienForm2 1.5

◆暫定処置：
　数種類の暫定処置が利用できる。
・ ZeroBoard：php.iniでallow_url_fopenとregister_globalsを無効にする。
・ AlienForm2 1.5：ソースコードを編集する。185行目と197行目で、 [] を [_] に変更する。186行目と198行目で、// を /_/ に変更する。246行目と248行目で、$key を Q$keyE に変更する。

◆ベンダー情報：
　残念ながら、現時点ではいずれのベンダーもセキュリティアップデートを提供していない。アップデートに関しては、当該ベンダーに問い合わせること。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【15:37 GMT、06、17、2002】