ホスティングサービスで設定ファイルが読まれる話
2010年4月14日(水曜日)
ホスティングサービスで設定ファイルが読まれる話
公開: 2010年4月17日15時30分頃
「WordPressのブログに大量のハッキング被害、不正サイトへ誘導も (www.itmedia.co.jp)」。
セキュリティ企業のSucuri Securityは、ブログでこの事件の原因について、WordPressではデータベースの管理情報がプレーンテキストの状態で保存されるという問題を指摘している。悪意を持つNetwork Solutionsのユーザーが、問題のある設定ファイルを見つけ出すスクリプトを作成してデータベースの管理情報を入手し、ブログのデータベースを改ざんしていたことが分かった。
Network Solutionsでは問題の根本原因を解決したと説明するが、WordPressのユーザーは念のため、管理パスワードの変更を促している。
最初読んだときはWordPressに問題があるという話のように読めて、よく意味が分からなかったのですが……。
良く読むとNetwork Solutions側で問題を解決したとありますから、ホスティングサービス側の問題だったわけですね。同じホスティングサービスを使用している別のユーザーから設定ファイルが読めた、という話のようです。
そういう話であれば、Movable Typeもmt-config.cgiにDBのユーザーとパスワードがそのまんま書いてあるわけですから、全く同じ事が起きます。WordPress特有の問題というわけでも無さそうですね。
- 「ホスティングサービスで設定ファイルが読まれる話」にコメントを書く
- 前(古い): 専用環境と言うけれど
- 次(新しい): XSS攻撃の実例
