脆弱性情報 1. 脆弱性の概要 アプリケーション: Apache WebServer バージョン: 2.0.39 以前(バックスラッシュパス区切り文字をサポートするシステム上のみ、例:Windows/Netware/OS2 など) 脆弱性タイプ: - ディレクトリトラバーサルの脆弱性 (CVE-2002-0661) - パス情報漏洩バグ (CVE-2002-0654) 2. リスクと影響 高リスク: 攻撃者はシステム上の任意のファイルを表示でき、 パスを使用してコードを実行できる。 低リスク: 攻撃者はサーバーパスを表示し、サーバーに関する詳細情報(管理者によって隠された情報など)を取得できる。 3. 例および具体的な問題 パス情報漏洩 (CVE-2002-0654): - 特定の URL リクエストにより、サーバーのレスポンスにファイルの完全パスが露出する。 - 例: ディレクトリトラバーサル (CVE-2002-0661): - バックスラッシュ文字 ( と同等)は悪意のある文字として処理されず、ディレクトリを横断するために使用できる。 - 例: を使用して ファイルを表示可能。 - 攻撃者はまた パスを通じてコマンドを実行でき、例: 4. 修正提案 公式修正: Apache 2.0.40 以降にアップグレードする。 一時回避策: - ファイルのグローバルサーバー設定において、 または 指令の前に を追加する。 5. その他の情報 詳細については Apache 公式サイトを参照してください:http://httpd.apache.org