2005年03月02日(水) 01時21分

phpBBに新たに2種類の脆弱性、最新版2.0.13で修正（ITmediaエンタープライズ）

　PHPを用いた掲示板プログラム「phpBB」に、新たに2つの脆弱性が存在することが明らかになった。

　phpBBは、PHPで記述されたオープンソースの掲示板システム。今回指摘された問題点のうち1つは、sessiondata['autologinid']とauto_login_keyという変数の比較に問題があり、悪用されるとセキュリティ制限を回避して管理者権限を奪取される恐れがある。phpBB Groupではこの影響は「クリティカル」であるとし、できる限り早期にアップデートを行うよう推奨している。

　もう1つは、viewtopic.phpのエラーによって、ファイルのパスに関する情報が参照できてしまうという問題だ。

　phpBB Groupは2月27日付けで問題の修正法を公開するとともに、脆弱性を修正した最新バージョン「phpBB 2.0.13」をリリースし、早期のアップデートを呼びかけている。

　なお2004年12月にはPHPの脆弱性を悪用したウイルス「Santy」が登場して感染を広めたが、SANSの情報によると今なお、Santyの亜種が活動を続けているという。

■関連記事
　 PHPのコード問題を突くSantyワームの亜種が出現
　 Googleハッキング手法を用いるワーム「Santy」が感染拡大
　 PHPに複数の深刻な脆弱性、最新版へのアップグレードを

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20050302-00000010-zdn_ep-sci