ニュース
2004/02/13 15:50:00 更新
SourceForge.jp、プロジェクトWebサーバがクラックされる
SourceForge.jpは2月13日、PHPスクリプトの脆弱性を突かれ、Webサーバの権限でいくつかのコマンドを実行されたことを発表した。
SourceForge.jpは2月13日、2004年1月21日にSourceForge.jpでホスティングしているプロジェクトが設置していたPHPスクリプトの脆弱性を突かれ、Webサーバの権限でいくつかのコマンドを実行されたことを発表した。当該プロジェクトのWebページは現在停止している。
事態の経過
2004年1月21日に当該プロジェクトのPHPスクリプトの脆弱性を突かれ始め、同23日には、当該プロジェクトのWebページのうち一部が改竄された。2月3日に、SourceForge.jpに改竄の連絡があり、すぐにWebページは閉鎖されている。
当該プロジェクトはxoopsというPHPで記述されたCMS(Content ManagementSystem)ソフトでWebページを構築していた。同システムはモジュール構造をとっているが、このモジュールのひとつ「Agenda-X」が、今回の脆弱性の原因であるとしている。
この脆弱性により、攻撃者は対象サーバで任意のコマンドを実行可能となり、プロジェクトWebサーバの環境変数やいくつかの設定ファイルなどが取得されたほか、いくつかのプロジェクトのディレクトリを走査された。
しかし、サーバシステムの管理上重要なデータの流出や、他のページの改竄は確認されていないほか、SourceForge.jpのシステム本体とは切り離されているため、各種ユーザー情報やプロジェクトの情報の流出はないという。
今後の対応
当該プロジェクトのWebページに関しては、当面運用停止措置を取ることになった。しかし、他のプロジェクトの利便性を考慮し、プロジェクトWebサーバ自体は停止しないという。
また、PHPはsafe_modeで動作させることになったほか、ユーザーにとって必要のないファイルにはアクセスできないよう、アクセス権が設定された。
関連リンク
SourceForge.jp[西尾泰三,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
