Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

PHP起因の「Joomla!」脆弱性で改ざん被害 - JPCERT/CCが注意喚起

JPCERTコーディネーションセンターは、PHPに起因した「Joomla!」における既知の脆弱性が悪用され、改ざん被害が生じているとして注意を喚起した。

問題とされるのは、コンテンツマネジメントシステム(CMS)の「Joomla!」において、2015年12月に修正された脆弱性「CVE-2015-8562」。ゼロデイ攻撃も発生し、セキュリティアップデートとなる「Joomla! 3.4.6」で修正された。その後の調査で、PHPの脆弱性「CVE-2015-6835」に起因していることが判明している

今回、脆弱性を悪用したウェブサイトの改ざん被害について報告を受けているとして、JPCERT/CCが注意喚起を実施したもの。同脆弱性に関して、ゼロデイ攻撃はもちろん、容易に利用できる悪用コードが出回っており、これまでも攻撃が多数確認されている。

米Symantecによれば、サーバを探索してバックドアを設置する攻撃は、脆弱性が明らかとなった2015年12月の時点で1日あたり平均1万6600件にのぼっていた

JPCERT/CCでは、ウェブサーバで利用するソフトウェアが最新となっているか確認し、第三者による診断の実施や、アクセスログの定期的なチェック、改ざんや不正プログラムの混入が発生していないか確認するなど、ウェブサイトの管理者へ注意を呼びかけている。

(Security NEXT - 2016/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WordPress 6.5.2」が公開 - XSS脆弱性を修正
WP向けeラーニングプラグインに再度深刻な脆弱性が判明
「WordPress」に脆弱性 - 1月のアップデートで修正済み
WPプラグイン「LayerSlider」に深刻な脆弱性 - 発見者は報奨金最高額を獲得
求職情報サイトで遠隔操作やデータ取得の形跡 - 日刊工業新聞
WPとGoogleドライブを統合するプラグインに深刻な脆弱性
WP向けeラーニングプラグイン「MasterStudy LMS」に脆弱性
WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「WordPress」向けのマルウェア対策やWAFプラグインに脆弱性 - 公開中止に

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.