Adobeのハッキング問題、拡張子.cfmのサイト、ColdFusion 管理者は至急対策を!
Adobeのハッキング被害によるソースコード流出問題。PDFに不正なマルウェアを仕込んでって前からあったしなぁと思っていたら、ソースコード流出は ColdFusionという動的Webフレームワークというか、Web CMS(Webコンテンツ管理ツール)だったと知りました。これは非常に危険な問題です。アドビはこう表明しています。
http://helpx.adobe.com/jp/x-productkb/policy-pricing/customer-alert.html
ColdFusionユーザー向けの詳細
この事態の結果として、アドビのColdFusionソフトウェア自体が攻撃を受けやすくなることはありませんか?
当社は、ColdFusionソースコードへの不正なアクセス、および他のアドビ製品のソースコードへ不正なアクセスが行われる可能性について調査を行っております。最新の調査では、製品ソースコードの潜在的な盗難の結果として、ColdFusionをご利用のお客様の何らかのリスクが高まるという事実はありません。サイバー攻撃は、現代のビジネスにおける悲しい現実の1つです。アドビ製品の数やその利用の増加に伴い、サイバー攻撃の標的になる可能性も高くなります。
今のところリスクが高まるとは言えないということです。しかし、一方で最新版にバージョンアップしてセキュリティを高める手順を推奨しています。
セキュリティに関してColdFusionユーザーが注意すべきことは何ですか?
ColdFusionをご利用のお客様におきましては、サポートされているバージョンのソフトウェアのみを実行し、入手可能なすべてのセキュリティホットフィックスを適用し、ColdFusionロックダウンガイドの手順を実行することをお勧めいたします。この手順は、ColdFusionの古い、パッチが適用されていない、または適切に構成されていないデプロイを標的とする既知の攻撃を軽減する目的で作成されています。
セオリー通りなんでしょうが、「ColdFusionの古い、パッチが適用されていない、または適切に構成されていないデプロイ」は膨大にあるはずです。1990年代に人気で広まったフレームワークで担当が変わってもう分かる人が居ないようなサイトもかなり多くあると推定されます。自分は触って無くても ColdFusion の利用を示す拡張子 .cfm のサイトが自社に無いか、適切な管理と対策が取られているか今すぐ点検すべきです。