英NGSSoftwareは米国時間3月4日,米L-Softのメーリング・リスト管理ソフト「LISTSERV」に複数のセキュリティ・ホールが見つかったことを明らかにした。最も危険なセキュリティ・ホールを悪用されると,LISTSERVが稼働するサーバー・マシン上で,権限を持たないリモート・ユーザーに任意のプログラムを実行される恐れがある。対策はソフトをバージョンアップすること。最新版のバージョン14.5で修正済み。
現時点では,NGSSoftwareは今回のセキュリティ・ホールの詳細について明らかにしていない。今回のセキュリティ・ホールを発見した同社は,公表することなくL-Softへ報告。NGSSoftwareとL-Softは共同でセキュリティ・ホールを修正した。
セキュリティ・ホールを修正した最新版14.5は,米国時間3月2日にリリースされている。LISTSERV Classic/HPOおよびLiteの最新版は,L-Softのサイトからダウンロードできる。
これを受けてNGSSoftwareでは3月3日から4日にかけて,セキュリティ関連のメーリング・リストなどで,今回のセキュリティ・ホールの概要を公表した。詳細については,3カ月後の6月3日に公表する予定である。NGSSoftwareは,過去に見つけたセキュリティ・ホールについても同様の“猶予期間”を設け,すぐには詳細を公表していない(関連記事)。これは,パッチの検証や適用のための時間を管理者に与えるためだという。
今回のセキュリティ・ホールを突けば,サーバー上で悪質なプログラムを実行される可能性がある。NGSSoftwareでは,とても深刻なセキュリティ・ホールであるとしている。セキュリティ組織の米SANS Instituteでは,LISTSERVを利用している管理者は最新版14.5にバージョンアップするよう強く勧めている。
◎参考資料
◆Critical Risk Vulnerability in L-Soft Listserv(Bugtaq)
◆LISTSERV Classic/HPO(米L-Soft)
◆LISTSERV Lite(米L-Soft)
◆Upgraded LISTSERV Product Line Released Today, Spotlights Deliverability with Unique New Assessment Feature(米L-Soft)
◆Vulnerabilities in L-Soft's LISTSERV and Microsoft's Visual Studio(米SANS Institute)