KDDIの配布したサンプルCGIに脆弱性 - 修正版が公開
KDDIがウェブサイト上で配布していたCGIのサンプルプログラムに、脆弱性が発見された。同社では修正版の公開を開始している。
問題となったプログラムは、画像や着信メロディをau携帯電話でダウンロード、保存するために提供していたCGI。同社運営サイトEZfactoryで配布していた。
プログラムには、ディレクトリトラバーサルの脆弱性が含まれており、ネットワークを通じて、CGIを設置しているサーバ内のファイルへ認証なく第三者によりアクセスされ、情報漏洩などが発生するおそれがある。
同社では、ファイル名についてスラッシュの利用を制限し、問題を解消したプログラム「ダウンロードCGIセキュリティ対策版」を用意。ウェブサイト上で配布を開始しており、改修など不正アクセスの予防措置を実施するよう呼びかけている。
EZfactory
http://www.au.kddi.com/ezfactory/
KDDI
http://www.kddi.com/
(Security NEXT - 2007/07/10 )
ツイート
PR
関連記事
「Firefox」にゼロデイ脆弱性 - 緊急アップデートが公開
団体名簿を誤送信、メアド入力ミスで - 川崎市社会福祉協議会
Windows向け「Apple TV」アプリに脆弱性 - システム停止のおそれ
ネットワークに不正アクセス、一部サービスに影響 - カシオ
米当局、「Windows」や「Qualcomm」チップの脆弱性狙う攻撃に注意喚起
Synology製NASで稼働する「GitLab」に深刻な脆弱性 - アップデートを
Ruby環境向け「SAMLライブラリ」に深刻な脆弱性
ビデオ会議の「Zoom」、2件のセキュリティアドバイザリを公開
Adobe、アドバイザリ9件を公開 - 7件は「クリティカル」
「Ivanti CSA」にゼロデイ脆弱性 - 既知脆弱性と連鎖させた攻撃