サンのWebサーバにXSSの脆弱性

サン・マイクロシステムズのWebサーバ「Sun Java System Web Server」などにクロスサイトスクリプティング（XSS）の脆弱性が見つかった。なお同社は修正版をリリース済み。

[ITmedia]

　サン・マイクロシステムズのWebサーバ「Sun Java System Web Server」およびキャッシュ／フィルタリングサーバ「Sun Java System Web Proxy Server」にクロスサイトスクリプティング（XSS）の脆弱性が発見された。報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が12月21日、JVN（Japan Vulnerability Notes）に脆弱性情報を公開した。CVSS（共通脆弱性評価システム）による脆弱性の深刻度は4.3で、警告レベル。

　今回、Java System Web ServerとJava System Web Proxy Serverが持つアクセスログ閲覧機能にXSSの脆弱性が見つかった。攻撃者がスクリプトを含めてWebサーバにアクセスし、管理者などのユーザーがそのサーバのログページを閲覧すると、ページに含まれる任意のスクリプトがユーザーが意図しない形で実行される恐れがある。

　問題の影響を受けるのは次の製品。

• Sun Java System Web Server 6.1 SP7およびそれ以前
• Sun Java System Web Server 7.0
• Sun Java System Web Proxy Server 3.6 SP 10およびそれ以前

　サンはそれぞれの製品、バージョンに対して修正版をリリース済み。IPAは最新バージョンへのアップグレードを推奨している。