「XML-RPC」の実装パッケージに深刻な脆弱性

「XML-RPC」の実装パッケージに、きわめて深刻な脆弱性が見つかった。同実装パッケージを使っている、多くのオープンソース型アプリケーションが影響を受ける。

この欠陥を攻撃者が悪用すれば、脆弱な Web サーバーを乗っ取る事態も起こりうる。

各種オープンソースプロジェクトおよび Linux ベンダーは、こぞってセキュリティ勧告とアップデートを公開した。情報セキュリティ研究機関 SANS Institute のインターネット対策センター Internet Storm Center (ISC) は、この脆弱性について、被害大発生の引き金になる恐れがあると警告した。

XML-RPC は、RSS の開発への貢献で知られる Dave Winer 氏が、草案を作成した仕様を基にしたプロトコルのことだ。XML-RPC は、クロスプラットフォーム仕様で、これを組み込んだソフトウェアは、エンコーディングには XML を使い、転送には HTTP を使って、プロシージャコールを実行できる。

セキュリティ勧告によると、今回の脆弱性は、『XML-RPC for PHP』(別名「PHPXMLRPC」) および『PEAR』(The PHP Extension and Application Repository) のダウンロードサイトにあった XML-RPC の PHP 実装で見つかり、PHP 言語で書かれた「数十の」アプリケーションに含まれているという。

この脆弱性を最初に報告したのは、セキュリティ会社 GulfTech Research だった。同社は先週、XML-RPC について、実装パッケージの脆弱性を突いたリモートコード実行を受ける「リスクがきわめて高い」状態にあると警告し、XML-RPC の修正バージョンをダウンロードして早急にアップグレードするよう呼びかけている。

PEAR サイトおよび PHPXMLRPC サイトは、この脆弱性の修正パッケージをすでにリリースした。XML-RPC ライブラリを使っているさまざまな Blog や Wiki およびコンテンツ管理システム (CMS) も、ユーザーに対して、セキュリティ勧告を出し、アップデートを勧めている。アップデートが必要なプログラムは、『Serendipity』『phpAdsNew』『phpWiki』『PostNuke』『WordPress』『Drupal』『phpMyFAQ』『b2evolution』『TikiWiki』『phpGroupWare』『BLOG:CMS』をはじめ、数多くある。