サーバ設定のミス バーチャルホスティング約2000ドメイン情報漏洩の危険 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.25(月)

サーバ設定のミス バーチャルホスティング約2000ドメイン情報漏洩の危険

製品・サービス・業界動向 業界動向

 4月23日、Scan Incident Report 誌上で、webアプリケーションの危険に関するレポートが掲載された。
 このレポートは、ネットワークセキュリティ問題の研究、啓蒙を行っているoffice 氏の手によるものであり、みずほ銀行で発見された CGI 脆弱性について解説と多数の CGI などの web アプリケーション同様な危険性が掲載されていた。

 具体的な例としてあげられていた大手ホスティング会社の場合、同一のサーバ上にホスティングされていた約2,000件のドメインの情報が、 web アプリケーションを経由して、閲覧可能な設定になっていた。

 一般的に、web サーバ Apache には、大きな脆弱性はないと考えられているが、危険性の評価は主体者によって異なる。サーバ上に重要な顧客データなどをおいている場合、その漏洩は企業にとって死活問題にもなりかねない。しかし、サーバ管理者の一部には、サーバを乗っ取られる危険性が低いことから、こうした危険性を過小に評価する傾向がある。

 それが顕著に表れているのが、今回、office 氏から指摘された CGI の権限の設定の不適切さや Apache の古いバージョンの利用である。

SCAN Security Alert #1 webサーバのシェアは、Apache 83% 、IIS 9%
(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4299.html

 比較的よく使われている Apache の古いバージョンには、バーチャルホスティングで一定の条件がそろうと、ファイルの内容を自由に見ることのできる脆弱性など利用者から見た場合、深刻な脆弱性が存在している。
 また、1.3.12 以前のバージョンにはクロスサイトスクリプティング問題を含め、利用によっては深刻な危険をもたらすいくつかの脆弱性が存在する。

Overview of security vulnerabilities in Apache httpd 1.3
http://www.apacheweek.com/features/security-13
Apache 1.3.14 Released
http://www.apacheweek.com/issues/00-10-13#apache1314

 レポートでは、具体的な脆弱性の存在した大手事業者をあげ、その web に存在した脆弱性やアクセス方法を解説するとともに、web アプリケーションの設定に関する警鐘をならしている。


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×