米人気SNS、誤ってソースコード流出

[Lisa Vaas，eWEEK]

　ソーシャルネットワーキングサービス（SNS）の米Facebookが8月12日、誤ってソースコードの一部を公開した。コードはその後、Facebook Secretsという新たに立ち上げられたブログに転載された。同社は現在、このコードを使わないよう呼びかけている。

　同社はこの件に関する声明文を発行し、影響は小さいと強調している。

　「FacebookのWebページを表示するコードの一部が、Webサーバの設定ミスにより少数のユーザーに公開された。このミスはすぐに修正された」とFacebookの広報担当者は電子メールでeWEEKに伝えた。

　「セキュリティ侵害ではなく、ユーザーデータへの危険はなかった。公開されたコードはFacebookのユーザーインタフェースにのみ使われているもので、サイト内の仕組みを知る役には立たない。このコードの転載は法律に違反するため、人々に配布しないよう求めている」

　もっともハッカーコミュニティーの一部の人々は、Facebookが非常に古くて安全でないThttpdサーバ1.0を走らせていることを考えると、問題はこれでは終わらないと示唆している。

　「クールで軽量なサーバソフトだが、わたしなら使わない。Googleに聞いてみな」とHacker Webzineへのある投稿者は述べ、「thttpd 1.0 exploit」をGoogleで検索した結果へのリンクを張っている。検索結果には、このサーバソフトの脆弱性に関する記事が多数含まれている。

　ThttpdはACME LaboratoriesのオープンソースWebサーバソフトで、シンプルで高速に設計されている。Thttpdの最初の「t」は「tiny」「turbo」「throttling」などいろいろな意味を持つ。このソフトは、管理者が転送されるファイルのタイプによって最大ビットレートを制限できる「帯域スロットリング」という機能を備える。

　「Thttpdは、6年ほど前にわたしが初めて攻撃できたサーバだ。懐かしい」と先のHacker Webzineの投稿者は記している。

　「わたしのこれまでのお気に入りのエクスプロイト（攻撃コード）の1つが、Thttpdのoff by oneバッファオーバーフローによるものだ。プログラマーがいかに不注意かを示しているからだ。彼らはバッファを最大に設定し、0でループがカウントを始めるのを忘れ、1を足してオーバーフローしてしまう。ともかく、これは本題ではない。Facebookがかなり初期のバージョンを使っているのなら、アップグレードするべきだ」

　Facebookの広報担当者は、Thttpdサーバがコード流出の原因かどうか確認することを拒んだ。

原文へのリンク