バックアッププラグイン、XCloner にディレクトリトラバーサルの脆弱性

7万アクティブインストールを記録する、Xclonerにディレクトリトラバーサルの脆弱性が6月12日に報告されています。

ベンダーからは即日アップデートが発表され、現在の最新バージョンは3.1.2となります。

 

今回発見されたディレクトリトラバーサルは、簡単に言ってしまえば「見られることを想定していないディレクトリの内容が見えてしまう」脆弱性です。

ディレクトトラバーサル(別名パス・トラバーサル)

制限されたディレクトリの外へ抜け出し、システム内の他のファイルやディレクトリへのアクセスを可能にします。

典型的な特殊文字列の例として、現在のディレクトリの親ディレクトリとして解釈される “../” が挙げられます。これは相対パスのトラバーサルと呼ばれます。また、パストラバーサルは、”/usr/local/bin” のような絶対パスも利用でき、予期しないファイルへのアクセスに悪用されます。これは絶対パスのトラバーサルと呼ばれます。

(Japan vulnerability Notes)

開発者は見えてはいけないファイルを見せないよう、ファイル名を参照する際に ../ といった文字列を含まない参照を行わなくてはならない。

また、相対参照ではなく、絶対参照のパスを取得してからアクセスをするなどの対策が必要です。

 

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています