FAMLog
OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題
May 18, 2016
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)が、OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題に関する情報を公開しています。
脆弱性の内容は、OS X版FileMaker Server(バージョン9から14まで、バージョン13.0v10を除く)においてAdmin Consoleで展開アシスタントの設定を編集するとサーバーに設置したPHPスクリプトのソースコードが閲覧されてしまう時間が発生するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。
・OS X版FileMaker Server 14(バージョン14.0.4、14.0.4a、14.0.4bを含む)
・OS X版FileMaker Server 13(バージョン13.0v10を除く)
・OS X版FileMaker Server 12、OS X版FileMaker Server 12 Advanced
・OS X版FileMaker Server 11、OS X版FileMaker Server 11 Advanced
・OS X版FileMaker Server 10、OS X版FileMaker Server 10 Advanced
・OS X版FileMaker Server 9、OS X版FileMaker Server 9 Advanced
インターネットに接続している最中にFileMaker Server Admin Consoleの展開アシスタントを使用しなければ本脆弱性の脅威はありません。展開アシスタントの設定を編集する際には、インターネットに接続しない状態で実行することで上記の問題を回避できます。さらに、PHPスクリプトファイルをサーバーに設置する際には、展開アシスタントにおいてPHPの利用を無効化しないようにする必要があります。
[関連]OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題に関するご案内(株式会社エミック)