JP Vendor Status Notes(JVN)は5月17日,サン・マイクロシステムズのWebサーバー・ソフト「Sun Java System Web Server(旧名 Sun ONE Web Server)」にクロスサイト・スクリプティングの脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。悪用されると,Cookie情報を盗まれたりする恐れがある。
JVNとは,JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同で運営するWebサイト。JVNの情報によると,Sun Java System Web Serverは,エラー・ページを表示する際に,Webブラウザから送信されるReferer情報を適切にチェックしない。これが,今回のクロスサイト・スクリプティングの脆弱性の原因である。
具体的には,Sun Java System Web Serverが稼働するWebサーバーに対して,スクリプトを含むURL経由で存在しないURLにアクセスした際に,Sun Java System Web Serverが生成するエラー・ページを参照すると,そのスクリプトがWebブラウザ上で実行される可能性がある。
この脆弱性を悪用すれば,細工を施したリンクをユーザーにクリックさせることで,Sun Java System Web Serverが稼働する別のWebサイトのコンテキストで任意のスクリプトを実行させることが可能となる。例えば,そのWebサイトが発行するCookie情報などを攻撃者に送信させることができる。
現時点(5月17日19時)では,サン・マイクロシステムズからは対策情報は公表されていない。対策情報が公表されれば,JVNのページにもその情報が追記される予定である。Sun Java System Web Serverの管理者は同ページを頻繁にチェックして,対策情報が公表され次第,その情報に従って対策を施したい。
【5月18日追記】 JVNのページは5月18日16時30分に更新され,サン・マイクロシステムズから今回の脆弱性を修正したバージョンが既に公開されていること,ならびに近日中に同社から情報が公表される予定であることが追記された。修正バージョンの入手先については,JVNのページを参照してほしい。【以上,5月18日追記】
ユーザーとしての対策は,「信頼できないサイトへはアクセスしない/信頼できないリンクはクリックしない」ことに尽きる。細工が施されたリンクをクリックしなければ,今回の脆弱性を突く攻撃の被害に遭うことはまずない。
◎参考資料
◆Sun Java System Web Server におけるクロスサイトスクリプティングの脆弱性(JVN)
◆「Sun Java System Web Server」におけるクロスサイト・スクリプティングの脆弱性(IPA)