パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Java及びPythonにファイアウォールが迂回される脆弱性を確認

  • 元記事:JavaとPythonに脆弱性、ファイアウォールを迂回できる恐れ–研究者ら報告
  • 発表日時 2017/2/22

    Java及びPythonにファイアウォールが迂回される脆弱性が研究者により確認された。JavaのXML eXternal Entityが、ユーザー名のキャリッジリターンとラインフィードの有無を検証していない問題により、userコマンドやpassコマンドを改行で中断してFTPセッションに新しいコマンドの挿入が可能となり、攻撃者にSMTPサーバへのコマンド送信により任意のSMTPコマンドが実行されたりリモートからサーバに接続してメール送信をされる恐れがある。この脆弱性が悪用されると、ファイアウォールが迂回され、インターネットから脆弱性の存在するホストのシステムに対し、1024~65535番ポートを使用したTCP接続をされる恐れがある。これと同様の脆弱性がPythonのライブラリのurllib2とurllibにも存在する。また、Javaの場合はデスクトップPCのユーザがブラウザのJavaプラグインを無効にしていても細工されたWebサイトの閲覧により攻撃が可能となる。同研究者はこれらの脆弱性を各社に報告しているが、現時点ではこれらの脆弱性が修正されたアップデートは公開されていないため、Javaをアンインストールし、クラシックモードFTPを無効にするよう推奨している。




    あわせて読みたい