米Adobe SystemsのColdFusionに存在する未解決の脆弱性を突いた攻撃が発生していることが分かった。Adobeは、この脆弱性を修正するアップデートを米国時間の1月15日に公開すると予告している。
同社が1月4日付でWebサイトに掲載したセキュリティ情報によると、WindowsとMac、UNIX向けのColdFusionに3件の脆弱性が見つかった。このうち2件はColdFusion 10、9.0.2、9.0.1、9.0の各バージョンに存在し、攻撃者にサーバを制御されたり、制限付きディレクトリにアクセスされたりする恐れがある。この2件は、パスワードによる保護が有効になっていなかったり、パスワードが設定されていない場合に影響を受けるという。
残る1件はサーバからの情報流出を引き起こす恐れがあるとされ、ColdFusion 9.0.2、9.0.1、9.0が影響を受ける。
Adobeは攻撃を食い止めるための一時的な措置として、Remote Development Services(RDS)のユーザー名とパスワードを設定後、ユーザー側でRDSを無効にすることなど、複数の対策を紹介している。
脆弱性の緊急度は4段階で最も高い「クリティカル」、優先度は現時点で攻撃が報告されていることから最も高い「1」と位置付け、アップデートが公開され次第、直ちに適用することを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.