「PhpWiki」に脆弱性、任意のPHPコードがアップロードされる可能性

PHPのWikiクローン、「PhpWiki」に任意のPHPファイルがアップロードされる脆弱性。

[ITmedia]

　PHPで実装されたオープンソースのWikiクローンソフトウェア、「PhpWiki」に脆弱性が発見された。悪用されると、任意のファイルをアップロードされるおそれがある。

　US-CERTの情報によると、ファイルのアップロードを行う「UpLoad」機能のファイルチェックの部分に問題がある。.phpの拡張子が付いたファイルのアップロードは制限されているが、それ以外の「.phtml」などの拡張子が付いたファイルについては自由にアップロードできてしまう。

　この結果、攻撃者がリモートから任意のphpコードをアップロードし、それがWebサーバプロセスの権限で実行されてしまう可能性がある。

　13日の時点では、問題を修正するパッチは提供されていない。US-CERTでは回避策として、upload.phpを削除するなどしてアップロード機能を無効化するか、設定を変更してPHP形式のファイルのアップロードを制限する方法を紹介している。また、ネットワーク境界でのフィルタリングやソフトウェアを最小限の権限で動かすことといった基本的な対策も手助けになる。