Apache HTTP ServerにXSSの脆弱性

オープンソースのWebサーバ「Apache HTTP Server」のイメージマップ処理機能に、任意のコードを実行されるクロスサイトスクリプティング(XSS)の脆弱性が見つかった。

» 2007年12月13日 16時00分 公開
[ITmedia]

 オープンソースのWebサーバ「Apache HTTP Server」でクロスサイトスクリプティング(XSS)の脆弱性が発見された。情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)が12月13日、JVN(Japan Vulnerability Notes)に脆弱性情報を公開。CVSS(共通脆弱性評価システム)による脆弱性の深刻度は4.3で、警告レベル。

 今回見つかった脆弱性は、Apache HTTP Serverのサーバサイドイメージマップ処理を行うモジュール「mod_imap」「mod_imagemap」のWebページ出力に関するもの。細工されたWebサーバを介してユーザーがApacheサーバにアクセスすると、mod_imapやmod_imagemapが出力するWebページに埋め込まれたスクリプトがユーザーが意図しない形で実行される恐れがあるという。

 問題の影響を受けるのは、Apache HTTP Serverのバージョン2.2.6およびそれ以前、バージョン2.0.61およびそれ以前、そしてバージョン1.3.39およびそれ以前。回避策は、提供元のApache Software Foundation(ASF)が公開するパッチを適用するか、イメージマップ機能を使わない、あるいはイメージマップ機能を使用時にクライアントサイドのイメージマップ機能を利用するようにすること。同サーバを製品に利用する日立製作所も対策情報を公開している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ