SNS Advisory No.57
AN HTTPD Cross-site Scripting Vulnerability

Problem first discovered: 23 Oct 2002
Published: 28 Oct 2002

概要：
Windows 95/98/Me/NT/2000用のHTTPサーバであるAN HTTPDのバージョン 1.41dには、クロスサイトスクリプティングを発生させてしまう可能性のある問題が含まれています。

問題：
AN HTTPDは、クライアントからのHTTPリクエスト中のURIに":"が含まれている場合にエラーページを表示します。このエラーページ中には、リクエストURIが適切にサニタイズされずに挿入されているため、クロスサイトスクリプティングの問題を発生させてしまう可能性があります。

問題を確認したバージョン：
AN HTTPD 1.41d

問題を確認したOS：
Windows 2000 Server + SP3

対策：
AN HTTPD 1.41eへアップグレードを行うことでこの問題を解消することができます。

AN HTTPD 1.41e：http://www.st.rim.or.jp/~nakata/httpd141e.exe

発見者：
山崎 圭吾

謝辞：
中田昭雄氏

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/57.html