サーバ設定のミス　バーチャルホスティング約2000ドメイン情報漏洩の危険

　4月23日、Scan Incident Report 誌上で、webアプリケーションの危険に関するレポートが掲載された。
　このレポートは、ネットワークセキュリティ問題の研究、啓蒙を行っているoffice 氏の手によるものであり、みずほ銀行で発見された CGI 脆弱性について解説と多数の

製品・サービス・業界動向業界動向

2002.4.24 Wed 12:00

　4月23日、Scan Incident Report 誌上で、webアプリケーションの危険に関するレポートが掲載された。
　このレポートは、ネットワークセキュリティ問題の研究、啓蒙を行っているoffice 氏の手によるものであり、みずほ銀行で発見された CGI 脆弱性について解説と多数の CGI などの web アプリケーション同様な危険性が掲載されていた。

　具体的な例としてあげられていた大手ホスティング会社の場合、同一のサーバ上にホスティングされていた約2,000件のドメインの情報が、 web アプリケーションを経由して、閲覧可能な設定になっていた。

　一般的に、web サーバ Apache には、大きな脆弱性はないと考えられているが、危険性の評価は主体者によって異なる。サーバ上に重要な顧客データなどをおいている場合、その漏洩は企業にとって死活問題にもなりかねない。しかし、サーバ管理者の一部には、サーバを乗っ取られる危険性が低いことから、こうした危険性を過小に評価する傾向がある。

　それが顕著に表れているのが、今回、office 氏から指摘された CGI の権限の設定の不適切さや Apache の古いバージョンの利用である。

SCAN Security Alert #1　webサーバのシェアは、Apache 83% 、IIS 9%
(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4299.html

　比較的よく使われている Apache の古いバージョンには、バーチャルホスティングで一定の条件がそろうと、ファイルの内容を自由に見ることのできる脆弱性など利用者から見た場合、深刻な脆弱性が存在している。
　また、1.3.12 以前のバージョンにはクロスサイトスクリプティング問題を含め、利用によっては深刻な危険をもたらすいくつかの脆弱性が存在する。

Overview of security vulnerabilities in Apache httpd 1.3
http://www.apacheweek.com/features/security-13
Apache 1.3.14 Released
http://www.apacheweek.com/issues/00-10-13#apache1314

　レポートでは、具体的な脆弱性の存在した大手事業者をあげ、その web に存在した脆弱性やアクセス方法を解説するとともに、web アプリケーションの設定に関する警鐘をならしている。