NTTデータ・セキュリティ株式会社は9月25日、AWStatsのクロスサイトスクリプティングの脆弱性に関する検証レポートを公表した。 AWStatsは、Webサーバのアクセスログを解析し、ブラウザで統計情報を閲覧可能にするプログラム。同脆弱性により、悪意のあるユーザが細工したURLへサイト利用者を誘導することでCookieが漏洩する危険性がある。 検証レポートでは、CentOS 5上にAWStats 6.8をインストールしたシステム上でこの脆弱性への攻撃を実証、悪意のあるユーザが、取得したCookieを利用し、なりすましを行うことが可能であると判断している。 対策案は、修正バージョン「AWStats 6.9」にアップデートすること、及び、AWStatsへアクセスする必要のある接続元からしか接続できないよう、AWStatsが設置されたディレクトリへのアクセス制限を実施することを推奨している。AWStats 6.9http://awstats.sourceforge.net/#DOWNLOADAWStatsのクロスサイトスクリプティングの脆弱性に関する検証レポートhttp://www.nttdata-sec.co.jp/article/vulner/pdf/report20080925.pdf
