オープンソースCMSのPostNuke、攻撃される
PostNukeのセキュリティ担当者によると、日曜から火曜にかけてPostNuke .750の.ZIPアーカイブをdownloads.postnuke.comからダウンロードした人は全員、このファイルをダウンロードし直してオフサイトMD5と照合しなければならないという。
弱点は、PostNukeそのもののコードではなく、PostNukeソースをWebサイトからダウンロードするのに使用していたプログラムにあった、とPostNukeチームは強調している。データベースドリブンのCMSソフトウェアにセキュリティの欠陥が見つかるのは必ずしもめずらしいことではないが、今回は、新しいソフトウェアダウンロードを感染させ、新しくインストールするPostNukeにバックドアを仕込むという手口が特殊だ。
評論家たちはこれをテロリストによるフリーワールド破壊の例として取り上げるに違いないが、フリーソフトウェアであることがこれと直接関係しているとはいえない。
ここで問題になるのは、オープンソース開発モデルでも、ソフトウェアのフリーダウンロードでもない。PostNukeが有償の非公開プロプライエタリソースだったとしても、開発者が同じダウンロードツールを使えば同じことが起きただろう。だが、その場合、セキュリティ担当者はこれほど迅速に問題を発見できただろうか。あるいはそもそも発見自体できただろうか。
この問題は月曜の夜に判明し、ダウンロードは停止された。この記事を書いている今の時点でもまだダウンロードは止められており、問題が明確になるまではこの措置が継続されるだろう。PostNuke開発チームのメンバーは、侵入されたソースコードと元のコードを比較し、書き換えられたファイルは(インクルードディレクトリ内の)pnAPI.php1ファイルだけであることを突き止めた。この書き換えによって、インストールプロセス中に提示するデータはすべて別のサーバに送信され、そこでデータが収集される。限られた人員だけがソースコードにアクセスできるような状況だったら、この攻撃を発見するのにさらに時間がかかったことだろう。
推奨するアクション
日曜から火曜の間にPostNukeの.ZIPアーカイブをダウンロードしていてこの問題の疑いがある場合、最も簡単な対策は、/includes/pnAPI.phpファイルを削除してPostNukeアーカイブ内のこのファイルに置き換えることだ。サーバログでoops=という文字列を含んだアドレスがないか調べて、そうしたメッセージがあったらセキュリティチームに連絡しよう。最後に、データベースのユーザ名とパスワードを変更した方がよいだろう。
Jem Matzan――フリージャーナリスト。3冊の著書がある。The Jem Report編集長。
原文
