SourceForge.jp:プロジェクト Web サーバのクラックについて
http://sourceforge.jp/forum/forum.php?forum_id=4153
他人事じゃないねえ.
原因となった脆弱性:
当該プロジェクトは xoops という PHP で記述された CMS(Content Management System)
ソフトウエアでWebページを構築していました.このシステムはモジュール構造
をとっており,モジュールを追加で組み込むことにより,新たな機能を提供
できるようになっています.このモジュールのひとつで Agenda-X と呼ばれる
もの (*1) が,今回の脆弱性の原因でした.このモジュールの修正版は,
1月29日にリリースされています(*2).この脆弱性により,攻撃者は対象サーバ
で任意のコマンドを実行できるようになります.他にも,似たような攻撃パターンで
攻撃が可能な脆弱性が存在するソフトウエアが複数存在するようです.(*1) http://sourceforge.net/projects/wjue/
(*2) http://www.xoops.org/modules/mydownloads/singlefile.php?cid=24&lid=442
XOOPS使いの人はチェック