オープンソースのコンテンツ管理システム「XOOPS」の公式サイトは米国時間6月28日,XOOPS バージョン2.0.11以前にセキュリティ・ホールが見つかったことを明らかにした。SQLインジェクションやクロスサイト・スクリプティング攻撃を受ける可能性がある。対策は,最新版の2.0.12aにアップグレードすることなど。

 セキュリティ・ベンダーSecuniaなどの情報によると,XOOPSに含まれるいくつかのモジュールは,入力/出力データを適切にチェックしない(サニタイジングしない)場合がある。このため,(1)クロスサイト・スクリプティング攻撃や(2)SQLインジェクション(攻撃)を許す可能性がある。

 具体的には,(1)により攻撃者は,XOOPSが稼働するWebサイトを経由させて,攻撃対象ユーザーへ任意のHTMLおよびスクリプトを送り込める。(2)により攻撃者は,XOOPSが稼働するWebサイトへ任意のSQL文を送り込んで,データベースの情報を操作できる。

 英語版での対策は,最新版の2.0.12aにアップグレードすること。XOOPS公式サイトからダウンロードできる。日本語版については2.0.12aはまだ存在しないものの,「XOOPS日本公式サイト」が2.0.10.1 JPおよび2.0.11 JP RC1用のパッチを公開している。パッチを適用すれば,今回のセキュリティ・ホールを解消できる。

◎参考資料
Security : Security Release: XOOPS 2.0.12a(XOOPS公式サイト)
Download the XOOPS System Core
XOOPS本体 : セキュリティパッチpatch-2005063001リリース(XOOPS日本公式サイト)
Xoops Cross-Site Scripting and SQL Injection Vulnerabilities(デンマークSecunia)

(勝村 幸博=IT Pro)