TAMURA Toshihiko
tamur****@bitsc*****
2004年 12月 28日 (火) 10:40:39 JST
こんにちは、田村です。 後藤さん、情報ありがとうございます。 どうやら問題のwormのファイルは www.visualcoders.net のサイト上から 取り除かれたようですね。 それでもwormのバリエーションは簡単に作れそうなので安心はできませんが。 GETの引数をinclude()やrequire()関数にそのまま渡してしまうスクリプトの 脆弱性を突く攻撃は、過去にもたくさんありましたが、そのような脆弱性を 無差別に攻撃する仕組みを作ったのが今回のwormの新しいところなんですね。 比較的メジャーなアプリケーションでは、このような脆弱性があれば とっくに攻撃されているはずですが、問題なのはosCommerceで言えば 拡張モジュールとか、自作のカスタマイズ部分だと思います。 include()で変数を使いがちなのは、michioさんが書かれた information.php?tpl=<パラメータ> のように、外部のテキストやHTMLのコンテンツをパラメータで指定して 読み込むような仕組みだと思います。 仮にこの<パラメータ>をそのままinclude()に渡さないとしても、 "<パラメータ>.txt" とか "<パラメータ>.html" をインクルードするような スクリプトは(今回のwormは大丈夫にしても)危ないです。 このあたりは見直す必要があります。 XOOPSのフォーラムにも書かれているように、 できればPHPの allow_url_fopen の設定をOffにしたいですね。 -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/
