アイ・ディフェンス・ジャパンからの情報によると、一般に出回っているソースコード管理システムBitKeeperに対する攻撃用プログラムで、ローカル用とリモート用の両方が出回っている。BitKeeperプログラムをデーモンとして実行することで、リモートユーザーがそこにアクセス可能となる。このモードでBitKeeperは、ユーザー入力を適切にチェックしないまま、バイナリの「diff」をshellコマンドに対してパラメーターとして呼び出す。そのため、リモート攻撃者がshellのメタ文字列を挿入することで、BitKeeperサーバーを実行しているユーザーになりすましてコマンドを実行することが出来る。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです 【12:42 GMT、01、13、2003】
