シンガポールを拠点とするセキュリティベンダー会社“Security and Infomation InteGrity”は11日（現地時間）、個人利用向けHTTPサーバー「04WebServer」に3個の脆弱性があることを公表した。脆弱性が確認されたのは、最新版であるv1.42。なお、本脆弱性を修正したバージョンや修正パッチなどは公開されていない。

　1つ目の脆弱性は、攻撃者が作成した悪意のあるリンクから、本ソフトで稼働しているサーバー内のWebページにアクセスすると、そのWebページを閲覧した人のパソコン上で任意のJavaScriptが実行されるというもの。その際、攻撃者は本サーバー内に実在しないWebページのURLをもとに、悪意あるリンクを作成することで、本ソフトの脆弱性を利用できるという。

　また2つ目の脆弱性は、攻撃者が実際に送信したHTTPリクエストとは別のHTTPリクエストを、本サーバーのログに書き込ませることができるというもの。最後の脆弱性は、悪意のあるHTTPリクエストを本サーバーに送信することで、本サーバーのサービスを再開不能な状態にできるとのこと。

　これら脆弱性が悪用されると、本サーバー管理者だけなくWebページ閲覧者も被害を受けるため、窓の杜では本ソフトの収録を見合わせることとした。本ソフトを利用しているサーバー管理者は、何らかの対策を講じることが望ましいだろう。

□SIG^2 G-TEC - 04WebServer Three Vulnerabilities
http://www.security.org.sg/vuln/04webserver142.html
□04WebServer : Test Page（「04WebServer」の作者ページ、本件に関する情報は掲載されていない）
http://www.soft3304.net/04WebServer/

（中井 浩晶）