.

NEWS

「Apache」のWindows版に深刻なセキュリティホール

不具合を修正したv1.3.24が公開

（02/03/27）

　フリーのWebサーバーとして広く普及している「Apache」のWindows版に任意のコマンドを実行される危険性のある深刻なセキュリティホールが見つかり、The Apache Software Foundationは、この問題を修正したv1.3.24を公開した。Windows 95/98/Me/NT 4.0/2000/XPで動作するフリーソフトで、現在The Apache Software Foundationのサイトからダウンロードできる。

　今回発見されたセキュリティホールは、「Apache」のWindows版で、CGIディレクトリなどに拡張子“.bat”や“.cmd”のバッチファイルをおいておくと、悪意ある閲覧者が不正なURLを使ってアクセスすることで、「Apache」が動作しているマシン上で任意のコマンドを実行できてしまうというもの。問題の対象となるのは「Apache」のv1.3.23以前のバージョンで、v1.3.24ではこの問題は修正されているとのこと。

　また、現在ベータテストが進められている「Apache」v2.0のWindows版にも同様の問題が見つかり、同サイトではWindows版の公開を見合わせている。この問題の発見者によると、特に「Apache」v2.0.28以前のバージョンではインストール時に拡張子“.bat”のファイルがCGIディレクトリに作成されるため、初期状態のまま利用していると攻撃を受ける可能性が高いという。「Apache」v2.0での問題は、近日公開される次のベータ版で修正される予定とのこと。

　「Apache」は、Windows版のほかUNIX版やMacOS版などさまざまなプラットフォーム向けのバージョンが公開されているフリーのWebサーバー。オープンソースで開発が進められ、さまざまな機能を追加するアドオンモジュールも公開されているため、現在もっとも広く使われているWebサーバーといわれている。

【著作権者】The Apache Software Foundation.
【対応OS】Windows 95/98/Me/NT 4.0/2000/XP
【ソフト種別】フリーソフト
【バージョン】1.3.24

□Apache HTTPD Project - The Apache HTTP Server Project
http://httpd.apache.org/
□Windows版のダウンロード
http://www.apache.org/dist/httpd/binaries/win32/

（新城 雅章）