PHPの脆弱性をつくLinuxワーム発見 | ScanNetSecurity
2020.09.25(金)

PHPの脆弱性をつくLinuxワーム発見

10月31日、PHPのセキュリティサービスを専門に行うHardened-PHP Projectが、重大なセキュリティホールが見つかったとして警告を行ったのに続き、11月6日には、PHPのXML-RPC(転送にhttpを使用し、エンコードとしてXMLを使用する処理)の脆弱性をついたLinuxのワームが発

国際 海外情報
10月31日、PHPのセキュリティサービスを専門に行うHardened-PHP Projectが、重大なセキュリティホールが見つかったとして警告を行ったのに続き、11月6日には、PHPのXML-RPC(転送にhttpを使用し、エンコードとしてXMLを使用する処理)の脆弱性をついたLinuxのワームが発見されたと、Sans Instituteが発表した。

PHPとは、サーバー側での埋め込み型のスクリプト言語で、HTMLファイル内に処理内容をタグで囲み、記述したスクリプトを埋め込む。処理結果に応じて動的に文書を生成し、創出。ブラウザに転送される前にサーバーで処理されるため、ブラウザの互換性を受けることがないこと、また各種データベースとの連携に優れているということから、普及が進んでいた。

今回発見されたLinuxワームは、PHPのXML-RPCにおける脆弱性を攻撃するものだが、XML-RPCはPostNuke、Drupal、b2evolution、Xoops、WordPress、PHPGroupWare、TikiWikiなど様々なウェブアプリケーションで使用されている。これらのアプリケーションの多くはセキュリティの問題への対策を既に行い、アップデートを公開していたので、対応済みのプログラムは影響を受けない。発表したSans Instituteは、セキュリティトレーニングや情報を提供している。

【執筆:バンクーバー新報 西川桂子】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×