ニュース
» 2007年08月14日 16時28分 UPDATE

米人気SNS、誤ってソースコード流出

FacebookがWebサーバの設定ミスにより、ソースコードの一部を公開してしまった。

[Lisa Vaas,eWEEK]
eWEEK

 ソーシャルネットワーキングサービス(SNS)の米Facebookが8月12日、誤ってソースコードの一部を公開した。コードはその後、Facebook Secretsという新たに立ち上げられたブログに転載された。同社は現在、このコードを使わないよう呼びかけている。

 同社はこの件に関する声明文を発行し、影響は小さいと強調している。

 「FacebookのWebページを表示するコードの一部が、Webサーバの設定ミスにより少数のユーザーに公開された。このミスはすぐに修正された」とFacebookの広報担当者は電子メールでeWEEKに伝えた。

 「セキュリティ侵害ではなく、ユーザーデータへの危険はなかった。公開されたコードはFacebookのユーザーインタフェースにのみ使われているもので、サイト内の仕組みを知る役には立たない。このコードの転載は法律に違反するため、人々に配布しないよう求めている」

 もっともハッカーコミュニティーの一部の人々は、Facebookが非常に古くて安全でないThttpdサーバ1.0を走らせていることを考えると、問題はこれでは終わらないと示唆している。

 「クールで軽量なサーバソフトだが、わたしなら使わない。Googleに聞いてみな」とHacker Webzineへのある投稿者は述べ、「thttpd 1.0 exploit」をGoogleで検索した結果へのリンクを張っている。検索結果には、このサーバソフトの脆弱性に関する記事が多数含まれている。

 ThttpdはACME LaboratoriesのオープンソースWebサーバソフトで、シンプルで高速に設計されている。Thttpdの最初の「t」は「tiny」「turbo」「throttling」などいろいろな意味を持つ。このソフトは、管理者が転送されるファイルのタイプによって最大ビットレートを制限できる「帯域スロットリング」という機能を備える。

 「Thttpdは、6年ほど前にわたしが初めて攻撃できたサーバだ。懐かしい」と先のHacker Webzineの投稿者は記している。

 「わたしのこれまでのお気に入りのエクスプロイト(攻撃コード)の1つが、Thttpdのoff by oneバッファオーバーフローによるものだ。プログラマーがいかに不注意かを示しているからだ。彼らはバッファを最大に設定し、0でループがカウントを始めるのを忘れ、1を足してオーバーフローしてしまう。ともかく、これは本題ではない。Facebookがかなり初期のバージョンを使っているのなら、アップグレードするべきだ」

 Facebookの広報担当者は、Thttpdサーバがコード流出の原因かどうか確認することを拒んだ。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -