XOOPSのディレクトリトラバーサルの脆弱性を検証(NTTデータ・セキュリティ)
NTTデータ・セキュリティ株式会社は12月15日、XOOPSにおけるディレクトリトラバーサルの脆弱性の再現性について検証を行い、結果を発表した。これは、XOOPSのローカルファイルインクルード処理に欠陥があり、ディレクトリトラバーサル攻撃を受ける脆弱性が発見されたこ
製品・サービス・業界動向
業界動向
同社ではこの脆弱性について、「XOOPS 2.3.1」「PHP 5.2.6」「CentOS 5」による環境で検証を行った。ローカルインクルードの脆弱性を利用して、ターゲットシステムに細工したHTTPリクエストを送信することで、任意のファイルを読み出せるかどうかを検証した。検証の結果、ターゲットシステムに存在するユーザの一覧を取得できた。これにより、悪意のあるユーザにSSH等から当該ユーザに対するオンラインクラックを行われ、システムへの更なる制御の奪取を許す危険性があるとしている。
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20081215(xoops).pdf
http://www.nttdata-sec.co.jp/article/vulner.html
《ScanNetSecurity》
アクセスランキング
-
5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
-
2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
-
KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める
-
マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表
-
STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
