Chinachuに相対パストラバーサル脆弱性。早急なアップデートとPWの変更を。

Chinachuに相対パストラバーサル脆弱性。早急なアップデートとPWの変更を。

Urgent: Relative Path Traversal Vulnerability [11th July 2015] · Issue #198 · kanreisa/Chinachu · GitHub

Chinachu-WUI サーバーにおいて、遠隔の第三者はこの脆弱性を不正に利用することで
ユーザーの意図しないサーバー上のファイルを取得することができる可能性があります。
たとえば config.json が取得された場合、 Chinachu-WUI の管理パスワードが流出します。

この脆弱性は Basic 認証を回避することができます。

早急な対策が要求されています。

直ちに以下の対策を取る必要があります。

Chinachu (beta) を最新版にアップデートします
パスワードを変更するか、TLS クライアント証明書認証を設定します
Chinachu 実行ユーザーの読み取り権限の範囲内にある秘密鍵等を再生成します

Rootで動かしていない限り
ChinachuのID/パスワードが取得されChinachuのデータが改ざんされる恐れがある模様