Internet Watch logo
記事検索
最新ニュース

SourceForge.jp、Webサーバーをクラックされたことを公表


 オープンソースソフトウェアの開発者向けに各種サービスを提供している「SourceForge.jp」は13日、PHPスクリプトの脆弱性を突かれて1月23日にWebサーバーの改変などのクラックを受けていたことを公表した。被害はWebサーバーのみで、ユーザー情報や各オープンソースプロジェクトの情報などの流出は無かったとしている。

 SourceForge.jpは、オープンソースソフトウェアの開発者向けに、Webサイトホスティングやメーリングリスト、ファイルのバージョン管理を行なうCVSなどのサービスを提供しているサイト。米OSDNが運営しているSourceForge.netの日本版として、VA Linux Systemsジャパンにより運営されている。

 今回クラックを受けたのは、Webホスティングを利用しているプロジェクトが設置したページで、PHPを使用したコミュニティサイト構築ソフトウェア「xoops」のモジュールに存在していた脆弱性が原因となったという。

 これにより、SourceForge.jpプロジェクトWebサーバーの環境変数やいくつかの設定ファイルなどが取得され、いくつかのプロジェクトのディレクトリを走査されたとしている。ただし、サーバーシステムの管理上重要なデータの流出や、他のページの改竄は確認できなかったとしており、またWebサーバーはSourceForge.jpのシステム本体とは切り離されているため、各種ユーザー情報やプロジェクトの情報の流出はないということだ。

 今後の対応としては、当該プロジェクトのWebページは当面運用停止措置を取り、PHPをより安全なsafe_modeで動作させ、ユーザーにとって必要のないファイルにはアクセスできないようアクセス権を設定するとしている。なお、この措置により一部のPHPスクリプトが動作しなくなる可能性があるという。また、SourceForge.jpでは利用者に対して、プロジェクトWebで利用しているソフトウエアのセキュリティ情報などに十分注意するよう呼びかけている。


関連情報

URL
  ニュースリリース
  http://sourceforge.jp/forum/forum.php?forum_id=4153


( 三柳英樹 )
2004/02/13 17:30

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.