「Joomla!」に再び深刻な脆弱性、3.4.6への速やかなアップデートを推奨：追記：本当の原因はPHPの既知の脆弱性、PHPの更新も推奨

オープンソースのコンテンツ管理ソフトウエア（CMS）「Joomla!」に、リモートからのコード実行も可能な深刻な脆弱（ぜいじゃく）性が存在する。修正版の公開前からゼロデイ攻撃が観測されており、速やかなアップデートが望ましい。

[高橋睦美，＠IT]

2015年12月18日追記

HASHコンサルティングの徳丸浩氏はこの件に関するブログ投稿（http://blog.tokumaru.org/2015/12/joomla-zero-day-attack-caused-by-php.html）を公開し、この問題の原因はJoomla!側ではなく、PHPに存在する既知の脆弱性（CVE-2015-6835）にあることを指摘している。通常は顕在化しないこの脆弱性が、セッションストレージとして用いているMySQLにおいて、UTF-8の4バイト形式以降を切り詰めるという仕様のために顕在化したことが原因という。このため、Joomla!以外も影響を受ける可能性があり、「PHPの最新版を使うことを推奨」している。

　オープンソースのコンテンツ管理ソフトウエア（CMS）「Joomla!」に、リモートからのコード実行も可能な深刻な脆弱（ぜいじゃく）性が存在することが明らかになった。開発元は2015年12月14日、この脆弱性を含む複数の問題を修正した「Joomla! 3.4.6」をリリースした。ゼロデイ攻撃も観測されているため、可能な限り速やかにアップデートするよう推奨している。

　この脆弱性（CVE-2015-8562）が存在するのは、Joomla! 3.4.5以前。既にサポートが終了しているバージョン1.5や2.5にも影響がある。問題が深刻なことから、開発チームはJoomla! 3.4.6のリリースに加え、これら古いバージョン向けに緊急のパッチを公開している。

　セキュリティ企業のSucuriによると、修正版がリリースされる二日前の12月12日から、この脆弱性を悪用する攻撃コード（Exploit）が観測されていた。いわゆる「ゼロデイ状態」が二日間あったことになる。同社の観測では少なくとも、

• 146.0.72.83
• 74.3.170.33
• 194.28.174.106

という3つのIPアドレスからの攻撃が検出されており、攻撃数も増加をたどっているという。

　Sucuriは、Joomla!を動作させている場合、まずログに上記のIPアドレスからのアクセスがないかどうか、またUser Agentのログに「JDatabaseDriverMysqli」や「O:」といった文字列がないかどうかを確認するよう勧めている。もし該当する場合は攻撃を受けた可能性が高いため、インシデントレスポンス体制に移行すべきという。

　いずれにせよ、Joomla!を動かしているサイトでは、速やかに最新バージョンへアップデートすることが望ましい。

　Joomla!については2015年10月にもSQLインジェクションの脆弱性が明らかになっており、速やかなアップデートが呼び掛けられていた。