Open Conference Systemsの脆弱性、公開から1.5時間で悪用

OCSの脆弱性情報が公開され、これを悪用した攻撃が発生。公式サイトではバージョン1.1.6へのアップデートを呼び掛けている。

[ITmedia]

　カンファレンスサイトのホスティングに使われるフリーソフト、Open Conference Systems（OCS）の脆弱性情報が公開され、この脆弱性を突いた攻撃が報告されている。

　OCSの公式サイトでは10月16日、この問題に対処したバージョン1.1.6をリリースした。これ以前の全バージョンに脆弱性が存在するとして、パッチの適用を呼び掛けている。

　Secuniaのアドバイザリーによれば、脆弱性を悪用されると任意のファイルをローカルや外部リソースから挿入されてしまう恐れがある。危険度評価は「極めて深刻」となっている。

　SANS Internet Storm Centerには、実際にOCSに対する攻撃を受けたとの情報が寄せられたという。細工を施したr57shell PHPスクリプトを使ってシステムに不正アクセスされたと報告している。

　OCS1.1.3に関する脆弱性情報がBugTraqのサイトに投稿されたのは13日。情報が公開されてから不正アクセス発生までの時間は約1.5時間だったという。SANSでは、多数のホストがこの脆弱性を突かれ、フィッシング詐欺やスパムの送信に使われる恐れがあると指摘している。