◆概要: Mewsoft、Auction Script、PHP Classified、eFax、csNews.cgi、Zeroboard、AlienForm等多数のウェブアプリケーションセキュリティに対応する、アップデートと暫定処置が発表された。一例として、クロスサイトスクリプティング攻撃がある。これらのアプリケーションは人気は高いが、クライアントサイドの全般的安定性が低いため、攻撃によって深刻な影響を受ける。また、全脆弱性に対する悪用コードとテクニックが一般公開されている。以下は、今回解決された脆弱性リストである。・ MewSoft Auction 3.0のクロスサイトスクリプティングの脆弱性・ PHP Classifieds 6.0.5のクロスサイトスクリプティングの脆弱性・ eFax.comウェブサイトのクロスサイトスクリプティングの脆弱性・ csNewsでリモートシステムコマンドを実行し、アプリケーションをハイジャックできる問題・ ZeroBoardでリモートシステムコマンドを実行できる問題・AlienForm2 1.5ファイルの暴露(ほとんどのシステムファイル)◆情報ソース:・ BugTraq (? o m e 1, exe@FlashMail.com), June 14, 2002・ BugTraq (Steve Gustin, stegus1@yahoo.com), June 11, 2002・ BugTraq (onlooker@cnun.xsdeny.net), June 15, 2002・ BugTraq (Nick Cleaton, nick@cleaton.net), June 10, 2002◆キーワード: Other: Server application ◆分析: (iDEFENSE 米国) クロスサイトスクリプティングの脆弱性とユーザー入力の不適切な検証は、今後もウェブアプリケーションの課題となり、アプリケーションのホストサーバとアクセスするクライアントにとっては、セキュリティの問題を引き起こしかねない。可能な場合はクライアント側でJavaScriptとActiveScriptを無効にし、全セキュリティアップデートを確実にインストールすることを推奨する。◆検知方法: 以下のバージョンで脆弱性が確認されている。・ MewSoft Auction 3.0・ PHP Classifieds 6.05・ eFax.comウェブサイト・ csNewsの全バージョン・ ZeroBoardの全バージョン・ AlienForm2 1.5◆暫定処置: 数種類の暫定処置が利用できる。・ ZeroBoard:php.iniでallow_url_fopenとregister_globalsを無効にする。・ AlienForm2 1.5:ソースコードを編集する。185行目と197行目で、 [] を [_] に変更する。186行目と198行目で、// を /_/ に変更する。246行目と248行目で、$key を Q$keyE に変更する。◆ベンダー情報: 残念ながら、現時点ではいずれのベンダーもセキュリティアップデートを提供していない。アップデートに関しては、当該ベンダーに問い合わせること。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【15:37 GMT、06、17、2002】
