米US-CERTは米国時間7月6日，多くのPHPアプリケーションで使われている「XML-RPC」ライブラリに見つかったセキュリティ・ホールを警告した。セキュリティ・ホールを突いてWebサーバーを乗っ取るようなコード（プログラム）が出回っているという。PHPアプリケーションを利用しているWebサイトの管理者は，そのアプリケーションが影響を受けるかどうか確認し，受ける場合には早急に対策を施す必要がある。

　XML-RPCとは，データのエンコードにXMLを，通信にはHTTPを使って，異なるシステム間でRPC（Remote Procedure Call）を実現するための仕様。今回，XML-RPCを利用できるようにする特定のライブラリ（実装）にセキュリティ・ホールが見つかった。

　セキュリティ・ホールが見つかったのは，PHPで記述されたライブラリ「PHP XML_RPC」および「PEAR XML-RPC」。これらは多くのPHPアプリケーションで使われているため影響範囲は広い。例えば，広く使われているコンテンツ管理システム（CMS）「XOOPS」も影響を受ける（関連記事）。

　XOOPS以外にも，複数のCMSやブログ，Wikiシステムが影響を受ける。US-CERTなどの情報では，

• Serendipity
• phpAdsNew
• phpWiki
• PostNuke
• WordPress
• phpMyFAQ
• b2evolution
• TikiWiki
• phpGroupWare
• BLOG:CMS

　ベンダーの多くはパッチや修正版を公開している。現在利用しているPHPアプリケーションが影響を受ける場合には，できるだけ早急にパッチ適用やアップデートして対策を施したい。米SANS Insituteは米国時間7月3日，XML-RPCライブラリの脆弱性を悪用する大きなインシデント（事件／事故）が発生する可能性があると警告している（関連記事）。

◎参考資料
◆Vulnerability Note VU#442845　Multiple PHP XML-RPC implementations vulnerable to code injection
◆Exploit for Vulnerability in XML-RPC

（勝村　幸博＝IT Pro）