04WebServerは、ブロードバンド回線等での利用を目的とした、パーソナル向けHTTPサーバソフトです。
2006-11-05 00:39 - 04WebServer v1.86リリース
重要度の高い不具合報告があったため、臨時リリースです。
修正点は以下の通りです
- PATH_INFOに特定の文字列を渡すことにより、間違ったCGIインタプリタが起動する不具合を修正
- ディレクトリアクセス時のWebDAVの動作を修正
2006-11-04 20:02 - 04WebServer v1.85リリース
今回のバージョンアップは、バグの修正がメインとなっています。
修正点は、以下の通りです
- indexに移動しないオプション利用時に、WebDAVなどが正常に動作しなくなる不具合を修正
- SCRIPT_NAMEなど、CGIの動作を一部修正
- その他、トラッキングに上がっていたいくつかの不具合を修正
- GUIの採用で、簡単に設定が行えます。
- サーバの動作の詳細をリアルタイムで監視できます。
- システム サービス、単体のアプリケーション、どちらとしても起動可能です。
- WebDAV class1(IE5.5以降のWebフォルダ機能)に対応しています。
- CGI、SSIが使用できます。
- CGIは、拡張子、及び、ファイルヘッダによって種類を判別し、複数のインタプリタを利用することが可能です。
- SSL/TLS(HTTPS)によるセキュアな通信が利用できます。
- バーチャルホストに対応しています。
- パス単位でユーザーの設定、セキュリティの設定、接続制限の設定が出来ます。
- 全体/1接続ごと/ホストごとに転送帯域幅の設定が可能です。
- MIMEタイプの設定が出来ます。
- インデックス・リストをMIMEタイプと拡張子からカスタマイズできます。
- ログ形式やインデックスファイルなど、色々細かい設定が可能です。
- OS
- Windows XP / 2000 (日本語版)
- CPU
- MMX Pentium 200MHz 以上推奨 (HTTPS利用時はPentium2以降推奨)
- 必要メモリ
- 待機中:約15M (コントローラを含む)
- 稼動中
- 1接続あたり約300K (ファイルのGET)
- インストールサイズ
- 約3M (アイコン、テストページを含む)
- ディスプレイ
- 800x600 16Bit 以上推奨
- 配布形式
- フリーウェア
- エラーページのクロスサイトスクリプトによる脆弱性
- URLに細工を行うことで、アクセスするユーザーに危険なスクリプトを実行させてしまう可能性があります。
- ユーザー認証を回避できる脆弱性
- リクエスト処理の不具合により、ユーザー認証を回避できてしまう可能性があります。
- ドキュメントルートより上位のファイル/フォルダにアクセスできる脆弱性
- リクエスト処理の不具合により、ドキュメントルートよりも一つ上のディレクトリにアクセス出来てしまう可能性があります。
- MS-DOSシステムデバイスを開けてしまう脆弱性
- ファイルタイプチェックの不具合により、MS-DOSシステムデバイス名をURLで指定すると開けてしまいます。操作によっては、シリアルポートに接続している機器や、プリンタを外部から操作される可能性があります。
- ログを偽装できる脆弱性
- URLに細工を行うことで、ログを偽装できてしまいます。
- エラーページのクロスサイトスクリプトによる脆弱性
- URLに細工を行うことで、アクセスするユーザーに危険なスクリプトを実行させてしまう可能性があります。
- CGIソースの表示を可能とする脆弱性
- ファイル名チェックの不具合により、特定の条件下でCGIのソースコードが表示されてしまいます。このセキュリティ・ホールにより、掲示板などのパスワードが知られてしまう可能性があります。
- DoS(サービス拒否)攻撃を許す脆弱性
- OpenSSLの脆弱性により、特定のデータを受信すると、サーバスレッドが強制終了します。サーバスレッドが強制終了すると、そのスレッドが利用していたリソースが解放されないため、攻撃を受け続けると、システムリソースを使い尽くしてサーバがダウンする可能性があります。
- 任意のファイルにアクセス可能な虚弱性
- URL文字列処理のコーディングミスにより、特定の手法を利用すると、任意のファイルへのアクセスを許してしまいます。この虚弱性により、システムの制御権を奪われたり、任意のプログラムを実行されたりする事はありませんが、個人情報などが外部に流出する可能性があります。
以上、公式サイトより転載。