2008/01/12追記
この問題はサーバ運営者サイドの問題修正により解消されました。
その後Xserverから連絡がありました。
ご連絡ありがとうございます。
awstats自体の既知の脆弱性は修正いたしておりますので、
直接的なセキュリティホールにはならないと思いますが、
上記に関しましては、セキュリティ上好ましいとはいえない状況なので、
修正を検討中でございます。
なにとぞ、ご了承くださいませ。
<メール返信の一部抜粋>
とりあえず修正を検討してもらえるようです。このまま検討で終わってしまうと微妙だと思うので連絡もあったしどんな内容なのか書きたいと思います。もちろん具体的には手順なんて書きませんけども。
ってことで早く修正してください。
Xserverは既定でawstatsというアクセス解析アプリケーションが利用出来る状態にあります。実際には有効にするにはXserverのコントロールパネルから有効化する必要があるんですけども。
で、そのアクセス解析画面に行くためにはコントロールパネルのリンクから飛ばないと駄目なんですけど、その画面実は現状認証等の制限が一切かかっていないんです。自分のawstatsへたどり着くPATHを改めて見てみると特定の規則があるわけです。
通常規則が分かったとしても表に出ない値(例えばログインIDとか)そんなものが含まれているので問題ないはずなんですが、Xserverの場合その表に出ない値がXserverの特定の機能を使っているとPATHに含まれてしまうんです。
そのサービスを使っているか否かなんていうのはGoogleで検索してみればすぐに分かります。
という事で内容としては
ある特定の動作をサービスとして取り込んでいる場合にawstatsを有効にしていると第三者にawstatsの解析ログを閲覧されてしまう。
というものです。見れると言ってもIPなど個人の特定には使えないものばかりですが、アクセスした記録を誰かに簡単に見られる状況にあるかもしれないって思うのもなんだか違和感ありますよね。
というわけでしばらくの間Xserverでデフォルトのawstatsを使う場合にはご注意を。
追記>
Xserverの利用規約を見直してみました。
第五条 サービス内容の無保証
サービス内容は甲がその時点で提供可能なものとします。甲は提供するサービス及びハードウエア・ソフトウエア等についての完全性、正確性、等いかなる保証をしないものとします。第十条 禁止事項
甲が乙に対して提供するサービスの利用上の禁止事項を提示します。甲が以下の項目に該当すると判断した場合、利用契約者に通知することなく、一時的なサービスの停止、あるいは全サービスの提供の停止および利用契約を解除して終了させることができるものとします。・サーバーの機能を停止させるような行為。
・ディスクスペース・リソースの再販と思われる行為。
・サーバーを共有する他の利用者の利用を妨げる行為。
・サーバー内で負荷の高いCGIを使用すること。
・PHP、CGI、JAVA等のプログラム乱用。
・その他サーバー及び回線に過度に負担のかかる使用。
・メールサーバーの機能を停止させるような行為。
・メールサーバーを共有する他の利用者の利用を妨げる行為。
・スパムメール、メール爆弾等の迷惑メールの配信行為。
・その他甲が乙に対し不適切と判断した行為、使用。いずれの場合も解約に至った場合、残り契約期間分の返金には応じられません。
サービス内容の無保証を謳っているので特に修正しなくても良いのかも知れませんね。
まあ、まさか不適切と判断した行為、使用って項目を不都合に置き換えてしまうような悪質なサービスで無いと信じていますし。
とにかく何らかの対策が早めに出来てくれるとありがたいと思っています。
