SIG^2のホームページ

　シンガポールのセキュリティ対策団体・SIG^2が7日明らかにしたところによると、フリーのWebサーバー「AN HTTPD」の最新版であるv1.42nに、同梱の“cmdIS.dll”に起因する2つの脆弱性が存在するとのこと。1つ目の脆弱性は、異常に長いUser-Agentなどのヘッダー情報を受け取るとバッファ・オーバーフローが発生し、任意のコードを実行される可能性があるという。2つ目の脆弱性は、ログを偽装できてしまうというもの。これらの脆弱性を修正したバージョンはまだ公開されておらず、同団体や「AN HTTPD」の作者である中田 昭雄氏は対応策として、2つの脆弱性の原因となる“cmdIS.dll”の削除を強く勧めている。

□SIG^2 G-TEC - AN HTTPD Server cmdIS.DLL Buffer Overflow and LogFile Arbitrary Character Injection Vulnerabilities
http://www.security.org.sg/vuln/anhttpd142n-jp.html
□AN HTTPD Home Page（「AN HTTPD」作者のホームページ）
http://www.st.rim.or.jp/~nakata/
□窓の杜 - AN HTTPD
http://www.forest.impress.co.jp/lib/inet/servernt/server/anhttpserver.html

（石川 敬峰）