MODx CMS "reflect_base" File Inclusion Vulnerability (Secunia)

MODx 0.9.2と、それ以前の全バージョンに同梱されているスニペットReflectにRFI(Request for Information)の脆弱性が発見されました。この脆弱性を衝かれると、ファイルのアップロードや悪意のあるスクリプトの実行を許してしまうことになります。1秒でも早く対応してください。対応方法は次のとおり。

0.9.6.2 security problem with reflect snippets (MODx Forum)

問題になるファイルは"snippet.reflect.php"。このファイルの名前を"a.txt"のような実行できない形式に変更するか、サーバ上から削除してください。Reflectを使用している場合でも、"snippet.reflect.php"を削除してかまいません。スニペット本体は既にDB内に書き込まれており、運用上無くても問題ないからです。このファイルは運用者のソース参照用のためだけに存在しているます。ですから、本来はサーバ上にアップしておくこと自体が望ましくないと言えます。

このセキュリティアナウンスが勧告された即日から、滅多に人が来ないサイトでさえ、1日に2000件近くもReflectへの不正アタックが続いています。クラッカーである彼、もしくは彼らは、BOTネットを駆使して多数のIPから攻撃を仕掛けてきました。これではIPベースのアクセス制御は無意味に等しいです。幸い、日頃からセキュリティポリシーを厳し目に設定してたおかげで、このアタックの大半は実質的な被害もなく未然に防げました。しかし、今回が幸運だっただけで、いつ破られるとも知れません。皆さんも、これを機にサーバのセキュリティを今一度見直してみてはいかがでしょうか。