オンラインショッピングカートソフトにサーバ侵入を許す裏口(ZDNN)

 ★阿修羅♪   
[ フォローアップ ] [ フォローアップを投稿 ] [ ★阿修羅♪ Ψ空耳の丘Ψ6 ] [ FAQ ]

 
投稿者 FP親衛隊国家保安本部 日時 2000 年 4 月 29 日 09:39:01:

【米国発】 2000.4.27 4:53 PM PT――

小規模の電子商取引サイトでよく使われているショッピングカートソフト「CART32」に,サーバへのアクセスを許す裏口があることが発見された。セキュリティ会社Cerberus Internet Security が4月27日明らかにしたもの。
同社では,この欠陥を利用してサーバに侵入されれば,ユーザーのクレジットカード情報が簡単に盗まれる恐れがあると強調している。
「これは正真正銘の裏口だ――これはセキュリティ上大きな問題だ」と話すのは同社共同創設者でセキュリティディレクターのDavid Litchfield氏。「あるパスワードと隠されたリンクを利用して,われわれは全てのパスワードを取り出すことができた」
Litchfield氏の言うパスワードとは,このソフトのデータへのマスターキーのこと。
いったん入手できれば,基本的にはこのソフトを走らせているサーバを自由に操れ,Webサイトを書き換えたり(同じマシンでホスティングされている場合),ユーザーのクレジットカード情報を盗んだり,ログファイルを読むなどあらゆることが可能になる。

◎裏口パスワードの存在

このマスターキーとは,裏口用のパスワード「wemilo」。正しく入力すると,そのサーバ上にあるCART32利用者全員のパスワードリストにアクセスできる。
1社でこのソフトを使っている場合,攻撃側は,その会社のコンピュータ上の店舗で使われているCART32ソフトにアクセスする単一のパスワードを取り出すことができる。
あるいはインターネットサービスプロバイダー(ISP)1社が顧客のバーチャル店舗を多数ホスティングしている場合,全クライアントのパスワード一覧が表示される。
Cerberusが助言文書で指摘している通りにZDNNでテストしたところ,1つのサーバ上にある350カ所以上のサイトのパスワード一覧がまとめて表示された。
Litchfield氏によると,このパスワードはそのままCART32のアカウントにアクセスするために利用でき,優先アクセス権付きのコマンドを持っているという。

◎猶予なしの公表

CART32を開発したMcMurtrey/Whitaker & Associates(MWA)もこの裏口の存在を確認している。しかしCerberusがこの情報を公表したのは時期尚早だったとの考えだ。
「Cerberusはこれに関して当社に時間的猶予を与えてくれなかった――ゼロだ。同社は先に世間に公表してしまった」。MWAのテクニカルサポート担当者Mark Pilkenton氏はこう話す。
この裏口によってまず同ソフトに何が起こったのか,Pilkenton氏からの説明は得られなかった。
CerberusのLitchfield氏は,MWAのこの疑問に関して同社に与えたメリットを説明している。「テクニカルサポートへのアクセス軽減に役立ったはずだ」

◎相次ぐ「裏口」報道

最近,「裏口」に関する発表が相次いでいる。MicrosoftのWebサーバ製品のセキュリティホールが,「Netscape engineers are weenies!(Netscapeのエンジニアはバカ揃い)」というフレーズとともに明らかになり,Wall Street Journal紙がこれを「裏口」と報道したことから大きな注目を集めた。実際にはこれは裏口ではなかった(4月17日の記事参照)。
その1週間後,今度はRed HatのLinuxディストリビューションのユーティリティに,管理者権限でアクセスできる裏口パスワードの存在が発見され(4月26日の記事参照),Microsoft支持者の喝采を浴びた。実際にはこのプログラムはシステム管理者が選べるデフォルトパスワードの選択肢が少なく,標準的な心得であるパスワードの再設定を怠った場合にのみ起こり得る問題だった。
しかしSecurityFocus.comの情報システムマネジャーRyan Russell氏は,両方の欠陥とも裏口と呼べるほどのものではなかったと言う。
「裏口とは,意図的にデフォルトとは別に隠されていたり,あるいはプログラミングのミスによってできたパスワードのことだ」。こう同氏は説明し,これらパスワードによって1つのコンピュータに通常以上のアクセスができるようなものでなければ裏口には当たらないと付け加えた。

◎パスワードの変更を

「一見したところ,CART32のセキュリティホールは裏口と呼べるもののようだ」とRussell氏は言う。MWAのPilkenton氏によれば,同社のエンジニアがこの欠陥修正のためのパッチ作成に当たっており,問題については電子メールで知らされたという。
このパッチがリリースされるまでの間,CerberusではCART32のユーザーに対し,プログラムを編集して隠されたパスワードを「wemilo」から別のものに変更し,プログラムを管理者のみがアクセスできるように修正しておくことを推奨している。


フォローアップ:


  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。