« EPISODE III Opening Crawl公開 | メイン | Diamond MaXLine Plus II 250GB »
2005年02月03日
[ ソフトウェア ]
AWStatsの脆弱性でBlogなどが改ざん被害
AWStatsの脆弱性でBlogの書き換えが行われることがあるらしい。
犯行グループはAWstatsのアクセスログ解析システムの脆弱性を突いて人気Blogを改ざん、さらに3日間で400件を超える改ざんを行ったと主張している。
(中略)
これは「AWStatsの『configdir』のリモートコマンド実行の脆弱性」として知られ、1月17日にセキュリティ企業iDefenseが公表した。iDefenseのアドバイザリによると、攻撃者はAWStatsの入力認証の脆弱性をリモートから悪用することで、Webサーバ特権の下で任意のコマンドを実行できる。Infecktion Groupが行った改ざんから分かるように、攻撃者はいったんこの脆弱性を悪用すると、任意のコマンドをリモートから実行できるようになる。
AWStatsプロジェクトは28日にバージョン6.3をリリース。このバージョンでは脆弱性が修正されているが、それ以前のバージョンは依然として危険にさらされている。
うちのサイトはAWStatsの6.2を使用していたので早速6.3にアップデート。
ユーザApacheの特権で任意のコマンドが実行できるようだとBlogに限らず危険がありそうだな。
投稿者 散財人 : 2005年02月03日 19:57
Google Search Result
-
散財流生: Software アーカイブ : AWStatsの脆弱性でBlogなどが改ざん被害. AWStatsの脆弱性でBlogの書き換えが行われる
ことがあるらしい。 ITmedia エンタープライズ:アクセス解析ツールにバグ、 ... -
散財流生: AWStatsの脆弱性でBlogなどが改ざん被害 : 散財流生: Software アーカイブ : AWStatsの脆弱性でBlogなどが改ざん被害. AWStatsの
脆弱性でBlogの書き換えが行われる ことがあるらしい。 ... -
あたしンちのおとうさんの独り言 | 2005/02/04 : アクセス解析ツールにバグ、人気Blogが改ざんの被害に ITmedia 2005/02/03.
犯行グループはAWstatsのアクセスログ解析システムの脆弱性を突いて人気Blogを改ざん、 ...
Trackback Pings
このエントリーのトラックバックURL:
http://www.sanzai.net/mt-tb.cgi/349
