■ セキュリティ情報 ■

■エラーページのクロスサイトスクリプトによる脆弱性

関係するバージョンv1.83以前
対処方法 v1.84にバージョンアップしてください

- 詳細 -
URLに細工を行うことで、アクセスするユーザーに危険なスクリプトを実行させてしまう可能性があります。


■ユーザー認証を回避できる脆弱性

関係するバージョンv1.83以前
対処方法 v1.84にバージョンアップしてください

- 詳細 -
リクエスト処理の不具合により、ユーザー認証を回避できてしまう可能性があります。


■ドキュメントルートより上位のファイル/フォルダにアクセスできる脆弱性

関係するバージョンv1.81以前
対処方法 v1.82にバージョンアップしてください

- 詳細 -
リクエスト処理の不具合により、ドキュメントルートよりも一つ上のディレクトリにアクセス出来てしまう可能性があります。

■MS-DOSシステムデバイスを開けてしまう脆弱性

関係するバージョンv1.43以前
対処方法 v1.50にバージョンアップしてください

- 詳細 -
ファイルタイプチェックの不具合により、MS-DOSシステムデバイス名をURLで指定すると開けてしまいます。
操作によっては、シリアルポートに接続している機器や、プリンタを外部から操作される可能性があります。

■ログを偽装できる脆弱性

関係するバージョンv1.43以前
対処方法 v1.50にバージョンアップしてください

- 詳細 -
URLに細工を行うことで、ログを偽装できてしまいます。

■エラーページのクロススクリプトによる脆弱性

関係するバージョンv1.43以前
対処方法 v1.50にバージョンアップしてください

- 詳細 -
URLに細工を行うことで、アクセスするユーザーに危険なスクリプトを実行させてしまう可能性があります。

■CGIソースの表示を可能とする脆弱性

関係するバージョンv1.41以前
対処方法 v1.42にバージョンアップしてください

- 詳細 -
ファイル名チェックの不具合により、特定の条件下でCGIのソースコードが表示されてしまいます。
このセキュリティ・ホールにより、掲示板などのパスワードが知られてしまう可能性があります。

■DoS(サービス拒否)攻撃を許す脆弱性

関係するバージョンv1.41以前
対処方法 v1.42にバージョンアップしてください

- 詳細 -
OpenSSLの脆弱性により、特定のデータを受信すると、サーバスレッドが強制終了します。
サーバスレッドが強制終了すると、そのスレッドが利用していたリソースが解放されないため、攻撃を受け続けると、システムリソースを使い尽くしてサーバがダウンする可能性があります。


■任意のファイルにアクセス可能な虚弱性

関係するバージョンv1.20以前
対処方法 v1.21にバージョンアップしてください

- 詳細 -
URL文字列処理のコーディングミスにより、特定の手法を利用すると、任意のファイルへのアクセスを許してしまいます。
この虚弱性により、システムの制御権を奪われたり、任意のプログラムを実行されたりする事はありませんが、個人情報などが外部に流出する可能性があります。