KDDIのダウンロードCGIサンプルプログラムにディレクトリトラバーサルの脆弱性

auの携帯電話に画像や着メロなどのコンテンツをダウンロードさせるためのサンプルCGIに脆弱性が発見された。

» 2007年07月09日 19時49分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は7月9日、KDDIの「ダウンロードCGIサンプルプログラム」におけるディレクトリトラバーサルの脆弱性について、JVN(JP Vendor Status Notes)に基づき公表した。

 ダウンロードCGIサンプルプログラムは、画像や着信メロディなどのデータを「EZweb」対応のau携帯電話端末にダウンロード・保存させるプログラム。同プログラムに想定外のディレクトリを参照されるディレクトリトラバーサルの脆弱性が見つかった。

 同プログラムを利用して構築されたWebサイトは、第三者によりコンピュータ内のファイルを認証無しで閲覧され、機密情報の漏えいなどが発生する恐れがあるという。

 作成者のKDDIはこの脆弱性を修正した対策版を公開しており、対策版サンプルCGIでサイトを構築するか、すでにサイトを構築している場合は対策版へ速やかに置き換えるように呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ