HPの回し者製「日記」に複数の脆弱性、アップデートを呼びかけ(JVN)
ブロードバンド
セキュリティ
注目記事
-
ワザありプロジェクター! 開けば大画面・畳めば本棚にも収納できちゃう!!【PR】
-
【物欲乙女日記】プロ7人による、日本一のギョーザのタレ選手権……タレの自作 にチャレンジ!
-
【物欲乙女日記(コスメ編)】秋の訪れと共に、生まれ変わる……ワタシ!
拡大写真
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は11月21日、HPの回し者が提供する日記投稿用のCGI「Zenprise Device Manager」にOSコマンドインジェクションおよびディレクトリトラバーサルの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
「日記 ver 6.6 およびそれ以前」には、OSコマンドインジェクション(CVE-2011-4002)およびディレクトリトラバーサル(CVE-2011-4001)の脆弱性が存在する。この問題が悪用されると、Webサーバの権限で任意のOSコマンドを実行されたり、リモートの攻撃者にサーバ内にある任意のファイルを閲覧される可能性がある。JVNでは、ベンダが提供する情報をもとに最新版にアップデートするよう呼びかけている。
「日記 ver 6.6 およびそれ以前」には、OSコマンドインジェクション(CVE-2011-4002)およびディレクトリトラバーサル(CVE-2011-4001)の脆弱性が存在する。この問題が悪用されると、Webサーバの権限で任意のOSコマンドを実行されたり、リモートの攻撃者にサーバ内にある任意のファイルを閲覧される可能性がある。JVNでは、ベンダが提供する情報をもとに最新版にアップデートするよう呼びかけている。
《吉澤亨史@ScanNetSecurity》
