KDDIがウェブサイト上で配布していたCGIのサンプルプログラムに、脆弱性が発見された。同社では修正版の公開を開始している。
問題となったプログラムは、画像や着信メロディをau携帯電話でダウンロード、保存するために提供していたCGI。同社運営サイトEZfactoryで配布していた。
プログラムには、ディレクトリトラバーサルの脆弱性が含まれており、ネットワークを通じて、CGIを設置しているサーバ内のファイルへ認証なく第三者によりアクセスされ、情報漏洩などが発生するおそれがある。
同社では、ファイル名についてスラッシュの利用を制限し、問題を解消したプログラム「ダウンロードCGIセキュリティ対策版」を用意。ウェブサイト上で配布を開始しており、改修など不正アクセスの予防措置を実施するよう呼びかけている。
EZfactory
http://www.au.kddi.com/ezfactory/
KDDI
http://www.kddi.com/
(Security NEXT - 2007/07/10 )
ツイート
PR
関連記事
エクササイズDVDの海賊版を販売した男性を逮捕
個人情報含むPCを新幹線車内に置き忘れ紛失 - カールツァイス関連会社
PASMOの履歴照会サービスは終了へ - セキュリティ上の懸念を払拭できず
オライリー、脆弱性テストの解説書を23日発売 - 専門家愛用ツール「Metasploit」を詳説
国保の特定健診で別人の「問診票」を誤送付 - 諏訪市
メール誤送信で学生の携帯アドレスを流出 - 静岡看護専門学校
学生の個人情報含む名簿を紛失 - 神奈川県の職業技術校
Trend Microが偽の「Chromeインストーラ」を確認 - 著名サイトURLを悪用する謎の手口
沖縄県立埋蔵文化財センターのサイトが改ざん - 閲覧でウイルス感染のおそれ
アイ・オー、NAS製品にウイルス対策機能付き新モデルを追加
