Webページ作成ソフト「ホームページ・ビルダー」のCGIサンプルに脆弱性

日本IBMのWebページ作成ソフトウェア「ホームページ・ビルダー」に付属するCGIサンプルプログラムに脆弱性が存在する。

[ITmedia]

　日本IBMが提供しているWebページ作成ソフトウェア「ホームページ・ビルダー」に付属するCGIサンプルプログラムに脆弱性が存在する。JVN（Japan Vulnerability Notes）が5月16日付で明らかにした。悪用されれば、リモートから任意のOSコマンドが実行される可能性がある。

　ホームページ・ビルダーのサンプルフォルダに含まれているCGIサンプルプログラムの一部では、入力内容の検査が適切に行われない。もし、付属のCGIプログラムのうち「anketo.cgi」「kansou.cgi」「order.cgi」をWebサーバに設置し、実行可能な状態にしている場合、攻撃者が挿入した文字列を通じて、任意のOSコマンドを実行されてしまう恐れがある。

　脆弱性の影響を受ける恐れがあるのは、「ホームページ・ビルダー V2 バリューパック」から最新版の「ホームページ・ビルダー 11」まで。各製品のサンプル版には、当該プログラムは含まれていない。

　日本IBMでは修正用モジュールを公開し、ユーザーに迅速な適用を勧めている。また、WebサーバなどにCGIプログラムをコピーし、利用している場合は、手動での修正が必要になるため、その方法も説明している。