米US-CERTは米国時間7月6日,多くのPHPアプリケーションで使われている「XML-RPC」ライブラリに見つかったセキュリティ・ホールを警告した。セキュリティ・ホールを突いてWebサーバーを乗っ取るようなコード(プログラム)が出回っているという。PHPアプリケーションを利用しているWebサイトの管理者は,そのアプリケーションが影響を受けるかどうか確認し,受ける場合には早急に対策を施す必要がある。
XML-RPCとは,データのエンコードにXMLを,通信にはHTTPを使って,異なるシステム間でRPC(Remote Procedure Call)を実現するための仕様。今回,XML-RPCを利用できるようにする特定のライブラリ(実装)にセキュリティ・ホールが見つかった。
セキュリティ・ホールが見つかったのは,PHPで記述されたライブラリ「PHP XML_RPC」および「PEAR XML-RPC」。これらは多くのPHPアプリケーションで使われているため影響範囲は広い。例えば,広く使われているコンテンツ管理システム(CMS)「XOOPS」も影響を受ける(関連記事)。
XOOPS以外にも,複数のCMSやブログ,Wikiシステムが影響を受ける。US-CERTなどの情報では,
- Serendipity
- phpAdsNew
- phpWiki
- PostNuke
- WordPress
- phpMyFAQ
- b2evolution
- TikiWiki
- phpGroupWare
- BLOG:CMS
ベンダーの多くはパッチや修正版を公開している。現在利用しているPHPアプリケーションが影響を受ける場合には,できるだけ早急にパッチ適用やアップデートして対策を施したい。米SANS Insituteは米国時間7月3日,XML-RPCライブラリの脆弱性を悪用する大きなインシデント(事件/事故)が発生する可能性があると警告している(関連記事)。
◎参考資料
◆Vulnerability Note VU#442845 Multiple PHP XML-RPC implementations vulnerable to code injection
◆Exploit for Vulnerability in XML-RPC
(勝村 幸博=IT Pro)