ImageFolio 2.27が任意のアカウント作成攻撃を防止 | ScanNetSecurity
2024.03.29(金)

ImageFolio 2.27が任意のアカウント作成攻撃を防止

◆概要:
 BizDesign社のウェブベースの画像アーカイブアプリケーションであるImageFolioのバージョン2.27に含まれている修正により、リモート攻撃者が特定のスクリプトにある脆弱性を悪用して有効なアカウントを作成できる問題が解決された。有効なImageFolioユーザー

国際 海外情報
◆概要:
 BizDesign社のウェブベースの画像アーカイブアプリケーションであるImageFolioのバージョン2.27に含まれている修正により、リモート攻撃者が特定のスクリプトにある脆弱性を悪用して有効なアカウントを作成できる問題が解決された。有効なImageFolioユーザーは、 http://host/cgi-bin/admin/admin.cgi のようなURLを通して管理エリアにアクセスできる。問題は、アカウントを持たないユーザーでも http://host/cgi-bin/admin/setup.cgi のようなURLを発行することにより自分のアカウントを作成できるというもの。


◆情報ソース:
 BugTraq (ET LoWNOISE, et@cyberspace.org), June 09, 2002

◆キーワード:
 Other: Server application

◆分析:
 (iDEFENSE 米国) 一旦、ユーザーが自分のアカウントを作成すると、それに伴って多くの活動が可能となる。例えば、任意ファイルのアップロード、暗号化されたパスワードの盗用、ウェブルートへのパスの検出などが含まれる。

◆検知方法:
 ImageFolio 2.2 Professional Editionで脆弱性が確認されている。

◆暫定処置:
 BizDesignでは、この問題に関して対応可能であり、インストール用マニュアルには、次に表示されている文が含まれている。

 「セットアップスクリプトにユーザーが直接アクセスして自分をユーザーとして追加することを防ぐには、setup.cgiの名前を変更し、この変更を反映するようにadmin_config.plの$setup_urlを更新する。最新情報:セキュリティチェックにビルドを持つため、バージョン2.27およびこれ以降のバージョンではこの操作を行う必要はない。」

◆ベンダー情報:
 登録ユーザーはバージョン2.27を
http://www.imagefolio.com/users/downloads/ で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:04 GMT、06、13、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×