PHPを用いた掲示板プログラム「phpBB」に、新たに2つの脆弱性が存在することが明らかになった。
phpBBは、PHPで記述されたオープンソースの掲示板システム。今回指摘された問題点のうち1つは、sessiondata['autologinid']とauto_login_keyという変数の比較に問題があり、悪用されるとセキュリティ制限を回避して管理者権限を奪取される恐れがある。phpBB Groupではこの影響は「クリティカル」であるとし、できる限り早期にアップデートを行うよう推奨している。
もう1つは、viewtopic.phpのエラーによって、ファイルのパスに関する情報が参照できてしまうという問題だ。
phpBB Groupは2月27日付けで問題の修正法を公開するとともに、脆弱性を修正した最新バージョン「phpBB 2.0.13」をリリースし、早期のアップデートを呼びかけている。
なお2004年12月にはPHPの脆弱性を悪用したウイルス「Santy」が登場して感染を広めたが、SANSの情報によると今なお、Santyの亜種が活動を続けているという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR