「XML-RPC」の実装パッケージに深刻な脆弱性

この記事のURLhttp://japan.internet.com/webtech/20050706/12.html

「XML-RPC」の実装パッケージに、きわめて深刻な脆弱性が見つかった。同実装パッケージを使っている、多くのオープンソース型アプリケーションが影響を受ける。

この欠陥を攻撃者が悪用すれば、脆弱な Web サーバーを乗っ取る事態も起こりうる。

各種オープンソースプロジェクトおよび Linux ベンダーは、こぞってセキュリティ勧告とアップデートを公開した。情報セキュリティ研究機関 SANS Institute のインターネット対策センター Internet Storm Center (ISC) は、この脆弱性について、被害大発生の引き金になる恐れがあると警告した。

XML-RPC は、RSS の開発への貢献で知られる Dave Winer 氏が、草案を作成した仕様を基にしたプロトコルのことだ。XML-RPC は、クロスプラットフォーム仕様で、これを組み込んだソフトウェアは、エンコーディングには XML を使い、転送には HTTP を使って、プロシージャコールを実行できる。

セキュリティ勧告によると、今回の脆弱性は、『XML-RPC for PHP』(別名「PHPXMLRPC」) および『PEAR』(The PHP Extension and Application Repository) のダウンロードサイトにあった XML-RPC の PHP 実装で見つかり、PHP 言語で書かれた「数十の」アプリケーションに含まれているという。

この脆弱性を最初に報告したのは、セキュリティ会社 GulfTech Research だった。同社は先週、XML-RPC について、実装パッケージの脆弱性を突いたリモートコード実行を受ける「リスクがきわめて高い」状態にあると警告し、XML-RPC の修正バージョンをダウンロードして早急にアップグレードするよう呼びかけている。

PEAR サイトおよび PHPXMLRPC サイトは、この脆弱性の修正パッケージをすでにリリースした。XML-RPC ライブラリを使っているさまざまな Blog や Wiki およびコンテンツ管理システム (CMS) も、ユーザーに対して、セキュリティ勧告を出し、アップデートを勧めている。アップデートが必要なプログラムは、『Serendipity』『phpAdsNew』『phpWiki』『PostNuke』『WordPress』『Drupal』『phpMyFAQ』『b2evolution』『TikiWiki』『phpGroupWare』『BLOG:CMS』をはじめ、数多くある。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。