米US-CERTは米国時間7月6日,多くのPHPアプリケーションで使われている「XML-RPC」ライブラリに見つかったセキュリティ・ホールを警告した。セキュリティ・ホールを突いてWebサーバーを乗っ取るようなコード(プログラム)が出回っているという。PHPアプリケーションを利用しているWebサイトの管理者は,そのアプリケーションが影響を受けるかどうか確認し,受ける場合には早急に対策を施す必要がある。

 XML-RPCとは,データのエンコードにXMLを,通信にはHTTPを使って,異なるシステム間でRPC(Remote Procedure Call)を実現するための仕様。今回,XML-RPCを利用できるようにする特定のライブラリ(実装)にセキュリティ・ホールが見つかった。

 セキュリティ・ホールが見つかったのは,PHPで記述されたライブラリ「PHP XML_RPC」および「PEAR XML-RPC」。これらは多くのPHPアプリケーションで使われているため影響範囲は広い。例えば,広く使われているコンテンツ管理システム(CMS)「XOOPS」も影響を受ける(関連記事)。

 XOOPS以外にも,複数のCMSやブログ,Wikiシステムが影響を受ける。US-CERTなどの情報では,

などが影響を受けるという。

 ベンダーの多くはパッチや修正版を公開している。現在利用しているPHPアプリケーションが影響を受ける場合には,できるだけ早急にパッチ適用やアップデートして対策を施したい。米SANS Insituteは米国時間7月3日,XML-RPCライブラリの脆弱性を悪用する大きなインシデント(事件/事故)が発生する可能性があると警告している関連記事)。

◎参考資料
Vulnerability Note VU#442845 Multiple PHP XML-RPC implementations vulnerable to code injection
Exploit for Vulnerability in XML-RPC

(勝村 幸博=IT Pro)