• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

コンテンツ管理システム「XOOPS」にセキュリティ・ホール,SQLインジェクションなどを許す

勝村幸博 2005/06/30 ITpro

 オープンソースのコンテンツ管理システム「XOOPS」の公式サイトは米国時間6月28日,XOOPS バージョン2.0.11以前にセキュリティ・ホールが見つかったことを明らかにした。SQLインジェクションやクロスサイト・スクリプティング攻撃を受ける可能性がある。対策は,最新版の2.0.12aにアップグレードすることなど。

 セキュリティ・ベンダーSecuniaなどの情報によると,XOOPSに含まれるいくつかのモジュールは,入力/出力データを適切にチェックしない(サニタイジングしない)場合がある。このため,(1)クロスサイト・スクリプティング攻撃や(2)SQLインジェクション(攻撃)を許す可能性がある。

 具体的には,(1)により攻撃者は,XOOPSが稼働するWebサイトを経由させて,攻撃対象ユーザーへ任意のHTMLおよびスクリプトを送り込める。(2)により攻撃者は,XOOPSが稼働するWebサイトへ任意のSQL文を送り込んで,データベースの情報を操作できる。

 英語版での対策は,最新版の2.0.12aにアップグレードすること。XOOPS公式サイトからダウンロードできる。日本語版については2.0.12aはまだ存在しないものの,「XOOPS日本公式サイト」が2.0.10.1 JPおよび2.0.11 JP RC1用のパッチを公開している。パッチを適用すれば,今回のセキュリティ・ホールを解消できる。

◎参考資料
Security : Security Release: XOOPS 2.0.12a(XOOPS公式サイト)
Download the XOOPS System Core
XOOPS本体 : セキュリティパッチpatch-2005063001リリース(XOOPS日本公式サイト)
Xoops Cross-Site Scripting and SQL Injection Vulnerabilities(デンマークSecunia)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る