速報
2004/12/28 07:32 更新
PHPのコード問題を突くSantyワームの亜種が出現
phpBBのバグを悪用したワームSantyは、PHPの一般的脆弱性を突くものに進化した。(IDG)
Santyワームの新しい亜種によって、スクリプティング言語PHPで構築されたWebサイトが危険にさらされている。こうしたサイトを守るためには手作業でコードを修正する必要があるかもしれないと、セキュリティ専門家が先の週末に警告を発した。
Santyワームの先のバージョンは掲示板ソフトphpBBの特定のバグを悪用しており、このソフトにパッチを当てれば攻撃を防ぐことが可能だった。これに対して「Santy.C」「Santy.E」などの新しい亜種はもっと一般的な脆弱性を突いており、PHPスクリプトに任意のファイルを組み込める状態になっているサイトが標的になる恐れがあると、仏K-OTik Securityの専門家は指摘している。
Santy.CとSanty.Eの動作はSanty.Aとは大きく異なるため、K-OTikのアドバイザリーではこのワームの名称を「PhpInclude」に変更したと、同社は12月26日に説明。このワームはPHPのWebページに共通するプログラミングエラーをターゲットとしており、Google、Yahoo!、AOLなどの検索エンジンを使って脆弱性のあるWebページを検索、PHPで「include()」「require()」の機能を使っているサイトを探し出すという。
これら機能はWebページ内でファイルのコンテンツを組み込むのに利用される。サイトの設計者がこの機能に受け渡すパラメータを十分チェックしないまま使っていた場合、攻撃者がこれを悪用してそのWebページに任意のファイルを組み込ませることができてしまう。Webサーバの設定によっては、そこからマシン全体を乗っ取られてしまう可能性もあると、K-OTikは警告している。
こうした攻撃を防ぐためには安全なやり方で「include()」と「require()」機能を使うよう、サイトのコード修正が必要になるかもしれない。
関連記事
[IDG Japan]
Copyright(C) IDG Japan, Inc. All Rights Reserved.
1日の処理を1秒にも――MySQLの達人が語る
「Windows 7搭載PC」で何が変わったのか?
IT基盤をアウトソースした中堅中小企業たち
トップエンジニア村上氏と上野氏が競演!
@IT「Windows 7」 特設サイトオープン!
業務でオープンソースは不安、は過去のこと
「設備」「ネットワーク」「マネジメント」
「どこでもオフィス」で業務効率アップ!
技術者不在でも「すぐに使える」
「ノートPCの持ち出し禁止」だけで大丈夫?![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
『情報システム部門』のあるべき姿は?
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター