情報漏えいニュース

パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

FuelPHP、Curlレスポンスのオートフォーマット利用による任意のコード実行の脆弱性を確認

by ·

  • 元記事:SEC-CORE-004: auto-format of Curl responses may lead to code execution
  • HP:FuelPHP
    • 発表日時 2014/6/6

    FuelPHPのCurlレスポンスのオートフォーマット利用による任意のコード実行の脆弱性が確認された。影響を受けるのはFuelPHPバージョン1.1~1.7.1で、Request_Curlカールクラスを使用してcURLリクエストを実行した際に、オートフォーマットのメカニズムに問題があり、細工されたレスポンスにより任意のコードが実行される恐れがある。解決策として1.7.2 コードベースが公開されており、これによりオートフォーマットによるレスポンスがされなくなり、この変更適用により前のバージョンに修正される。オートフォーマットは無効になるため、Request_Curlのインスタンスのコードをスキャンし、オートフォーマットを再有効にするかexecute()の後にコードを追加して正しいフォーマットに変換する必要がある。




    タグ:

    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
    ワンビは情報漏洩対策の専門家です。
    テレワークPC紛失・盗難時の情報漏洩防止と
    第三者データ消去証明にご興味がありましたらこちらから!

    おすすめ