JP Vendor Status Notes(JVN)は7月28日,「QRcode Perl CGI & PHP scripts」に存在するDoS(サービス妨害)攻撃を受ける恐れのあるセキュリティ・ホールを公表した。対策は,最新版にバージョン・アップすること。
QRcode Perl CGI & PHP scriptsは,QR画像コードを生成するスクリプト。PerlあるいはPHPを用いてWebブラウザ上にQRcode画像を表示する。swetake.comで無償配布している。
セキュリティ・ホールが存在するのは,QRcode Perl/CGI & PHP scripts ver. 0.50f以前。特定のパラメータの組み合わせを持つアクセスにより,サーバーのリソースが過剰に消費され,サービスを停止させられる恐れがある。最新版であるver. 050gでは修正されている。
このセキュリティ・ホールは,2005年7月15日に独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)がビジネス・アーキテクツ 吉野友人氏から届出を受け,JPCERT/CCが,製品開発者と調整,7月28日に公表した。
◎関連資料
◆JVN#29273468 QRcode Perl CGI & PHP scripts におけるサービス運用妨害の脆弱性(JVN)
◆JVN#29273468:「QRcode Perl CGI & PHP scripts」におけるサービス運用妨害の脆弱性(IPA)
◆QRcode Perl CGI & PHP scriptsにおけるセキュリティに関する重要なお知らせ(swetake.com)
