WordPressアップデート

11月 23, 2009

バックドアの脆弱性があるようなのでバージョンアップを行いました。

以前pligg仕込まれ実害はありませんでしたが、管理者不在でアップデートされていないシステムを多々見るので怖いです。

WordPressのfile.phpの脆弱性に関する検証レポート

NTTデータ・セキュリティさん発行のPDFです。

 

編集権限のある人でログイン→細工ファイルのアップ

と敷居は高いですが、、

 

オープンソースの人気CMSソフト「WordPress」に、任意のファイルがアップデートされる脆弱性が見つかった問題で、NTTデータ・セキュリティが検証レポートを公開した。

同ソフトに含まれるファイルのアップロードを行う「file.php」に脆弱性が含まれていたもので、影響を受けるのは、「同2.8.5」以下のバージョン。「同2.8.6」以降へアップロードすることで問題を回避できる。

本来、利用者に対して実行ファイルのアップロードを制限しているが、脆弱性により実行ファイルが管理者の意図に反してアップロードされる可能性があるという。

アップロードが行われた場合、ウェブサービスの実行権限でコマンドを実行することが可能となり、悪意あるユーザーにバックドアなどを設置されるおそれがある。ウェブサービスの実行権限によってはシステム全体が乗っ取られる可能性があり、同社では注意喚起を行っている。

NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/

(Security NEXT – 2009/11/20更新)

Facebook にシェア
[`yahoo` not found]
LINEで送る

Comments are closed.