プロジェクト Web サーバのクラックについて
2004-02-13 10:42

2004年1月21日に SourceForge.jp でホスティングしているプロジェクトが
設置していた PHP スクリプトの脆弱性を突かれ,Web サーバの権限で
いくつかのコマンドを実行されました.あらかじめいくつかの対策を
とっていたため,大きな被害は出ていません.当該プロジェクトの
Web ページは現在停止しています.

事態の経過:
2004年1月23日に当該プロジェクトのスクリプトの脆弱性を突かれ始めました.
このときに,当該プロジェクトの Web ページのうち一部を改竄されました.
2月3日に,サーバを管理している我々に改竄の連絡があり,すぐにWebページを
閉鎖し,当該プロジェクトの管理者に連絡をいたしました.

原因となった脆弱性:
当該プロジェクトは xoops という PHP で記述された CMS(Content Management System)
ソフトウエアでWebページを構築していました.このシステムはモジュール構造
をとっており,モジュールを追加で組み込むことにより,新たな機能を提供
できるようになっています.このモジュールのひとつで Agenda-X と呼ばれる
もの (*1) が,今回の脆弱性の原因でした.このモジュールの修正版は,
1月29日にリリースされています(*2).この脆弱性により,攻撃者は対象サーバ
で任意のコマンドを実行できるようになります.他にも,似たような攻撃パターンで
攻撃が可能な脆弱性が存在するソフトウエアが複数存在するようです.

(*1) http://sourceforge.net/projects/wjue/
(*2) http://www.xoops.org/modules/mydownloads/singlefile.php?cid=24&lid=442

影響:
SourceForge.jp プロジェクト Web サーバの環境変数やいくつかの設定ファイル
などを取得されました.いくつかのプロジェクトのディレクトリを走査されました.
ですが,サーバシステムの管理上重要なデータの流出や,他のページの改竄は
確認できませんでした.また,このサーバは SourceForge.jp システム本体とは
切り離されているため,各種ユーザ情報やプロジェクトの情報の流出はありません.

今後の対応:
当該プロジェクトのWebページに関しては,当面運用停止措置をとることにします.
他のプロジェクトの利便性を考慮し,プロジェクトWebサーバ自体は停止しません.
今後同様のことが起きても被害が大きくならないよう,PHP は safe_mode で動作
させることにします.この措置により,一部動作しなくなるスクリプトが出てくる
可能性がありますがご了承ください.また,ユーザにとって必要のないファイルには
アクセスできないよう,アクセス権を設定します.

ユーザのみなさんへのお願い:
SourceForge.jp では,みなさんを信頼し,プロジェクトWebの運用をお任せして
います.プロジェクトWebで利用しているソフトウエアのセキュリティ情報などには
十分注意するようにしてください.

OSDN Admin project news list