ImageFolio 2.27が任意のアカウント作成攻撃を防止 | ScanNetSecurity
2021.01.20(水)

ImageFolio 2.27が任意のアカウント作成攻撃を防止

◆概要:  BizDesign社のウェブベースの画像アーカイブアプリケーションであるImageFolioのバージョン2.27に含まれている修正により、リモート攻撃者が特定のスクリプトにある脆弱性を悪用して有効なアカウントを作成できる問題が解決された。有効なImageFolioユーザー

国際 海外情報
◆概要:
 BizDesign社のウェブベースの画像アーカイブアプリケーションであるImageFolioのバージョン2.27に含まれている修正により、リモート攻撃者が特定のスクリプトにある脆弱性を悪用して有効なアカウントを作成できる問題が解決された。有効なImageFolioユーザーは、 http://host/cgi-bin/admin/admin.cgi のようなURLを通して管理エリアにアクセスできる。問題は、アカウントを持たないユーザーでも http://host/cgi-bin/admin/setup.cgi のようなURLを発行することにより自分のアカウントを作成できるというもの。


◆情報ソース:
 BugTraq (ET LoWNOISE, et@cyberspace.org), June 09, 2002

◆キーワード:
 Other: Server application

◆分析:
 (iDEFENSE 米国) 一旦、ユーザーが自分のアカウントを作成すると、それに伴って多くの活動が可能となる。例えば、任意ファイルのアップロード、暗号化されたパスワードの盗用、ウェブルートへのパスの検出などが含まれる。

◆検知方法:
 ImageFolio 2.2 Professional Editionで脆弱性が確認されている。

◆暫定処置:
 BizDesignでは、この問題に関して対応可能であり、インストール用マニュアルには、次に表示されている文が含まれている。

 「セットアップスクリプトにユーザーが直接アクセスして自分をユーザーとして追加することを防ぐには、setup.cgiの名前を変更し、この変更を反映するようにadmin_config.plの$setup_urlを更新する。最新情報:セキュリティチェックにビルドを持つため、バージョン2.27およびこれ以降のバージョンではこの操作を行う必要はない。」

◆ベンダー情報:
 登録ユーザーはバージョン2.27を
http://www.imagefolio.com/users/downloads/ で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:04 GMT、06、13、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×