ニュース

Apache HTTP ServerにXSSの脆弱性

オープンソースのWebサーバ「Apache HTTP Server」のイメージマップ処理機能に、任意のコードを実行されるクロスサイトスクリプティング（XSS）の脆弱性が見つかった。

　オープンソースのWebサーバ「Apache HTTP Server」でクロスサイトスクリプティング（XSS）の脆弱性が発見された。情報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が12月13日、JVN（Japan Vulnerability Notes）に脆弱性情報を公開。CVSS（共通脆弱性評価システム）による脆弱性の深刻度は4.3で、警告レベル。

　今回見つかった脆弱性は、Apache HTTP Serverのサーバサイドイメージマップ処理を行うモジュール「mod_imap」「mod_imagemap」のWebページ出力に関するもの。細工されたWebサーバを介してユーザーがApacheサーバにアクセスすると、mod_imapやmod_imagemapが出力するWebページに埋め込まれたスクリプトがユーザーが意図しない形で実行される恐れがあるという。

　問題の影響を受けるのは、Apache HTTP Serverのバージョン2.2.6およびそれ以前、バージョン2.0.61およびそれ以前、そしてバージョン1.3.39およびそれ以前。回避策は、提供元のApache Software Foundation（ASF）が公開するパッチを適用するか、イメージマップ機能を使わない、あるいはイメージマップ機能を使用時にクライアントサイドのイメージマップ機能を利用するようにすること。同サーバを製品に利用する日立製作所も対策情報を公開している。

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.