情報処理推進機構

情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は9月17日、オープンソースのWebサーバソフトウェア「H2O」におけるディレクトリ・トラバーサルの脆弱性に関する情報を、JVN(Japan Vulnerability Notes)において公表した。

H2Oには、URLの処理に起因するディレクトリ・トラバーサルの脆弱性が存在。「file.dir」ディレクティブを使用している場合、遠隔の第三者によって、サーバ上の任意のファイルを取得される可能性があるという。

影響を受けるシステムは、H2O version 1.4.4 およびそれ以前、またはH2O version 1.5.0-beta1 およびそれ以前。IPAは、開発者が提供する情報をもとに、最新版へアップデートするよう注意を呼びかけている。