複数のウェブアプリケーションでセキュリティの脆弱性を発見
◆概要:
Mewsoft、Auction Script、PHP Classified、eFax、csNews.cgi、Zeroboard、AlienForm等多数のウェブアプリケーションセキュリティに対応する、アップデートと暫定処置が発表された。一例として、クロスサイトスクリプティング攻撃がある。これらのアプリケー
国際
海外情報
Mewsoft、Auction Script、PHP Classified、eFax、csNews.cgi、Zeroboard、AlienForm等多数のウェブアプリケーションセキュリティに対応する、アップデートと暫定処置が発表された。一例として、クロスサイトスクリプティング攻撃がある。これらのアプリケーションは人気は高いが、クライアントサイドの全般的安定性が低いため、攻撃によって深刻な影響を受ける。また、全脆弱性に対する悪用コードとテクニックが一般公開されている。以下は、今回解決された脆弱性リストである。
・ MewSoft Auction 3.0のクロスサイトスクリプティングの脆弱性
・ PHP Classifieds 6.0.5のクロスサイトスクリプティングの脆弱性
・ eFax.comウェブサイトのクロスサイトスクリプティングの脆弱性
・ csNewsでリモートシステムコマンドを実行し、アプリケーションをハイジャックできる問題
・ ZeroBoardでリモートシステムコマンドを実行できる問題
・AlienForm2 1.5ファイルの暴露(ほとんどのシステムファイル)
◆情報ソース:
・ BugTraq (? o m e 1, exe@FlashMail.com), June 14, 2002
・ BugTraq (Steve Gustin, stegus1@yahoo.com), June 11, 2002
・ BugTraq (onlooker@cnun.xsdeny.net), June 15, 2002
・ BugTraq (Nick Cleaton, nick@cleaton.net), June 10, 2002
◆キーワード:
Other: Server application
◆分析:
(iDEFENSE 米国) クロスサイトスクリプティングの脆弱性とユーザー入力の不適切な検証は、今後もウェブアプリケーションの課題となり、アプリケーションのホストサーバとアクセスするクライアントにとっては、セキュリティの問題を引き起こしかねない。可能な場合はクライアント側でJavaScriptとActiveScriptを無効にし、全セキュリティアップデートを確実にインストールすることを推奨する。
◆検知方法:
以下のバージョンで脆弱性が確認されている。
・ MewSoft Auction 3.0
・ PHP Classifieds 6.05
・ eFax.comウェブサイト
・ csNewsの全バージョン
・ ZeroBoardの全バージョン
・ AlienForm2 1.5
◆暫定処置:
数種類の暫定処置が利用できる。
・ ZeroBoard:php.iniでallow_url_fopenとregister_globalsを無効にする。
・ AlienForm2 1.5:ソースコードを編集する。185行目と197行目で、 [] を [_] に変更する。186行目と198行目で、// を /_/ に変更する。246行目と248行目で、$key を Q$keyE に変更する。
◆ベンダー情報:
残念ながら、現時点ではいずれのベンダーもセキュリティアップデートを提供していない。アップデートに関しては、当該ベンダーに問い合わせること。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【15:37 GMT、06、17、2002】
《ScanNetSecurity》