毎日新聞のサーバーはPHP5.1.6、民主党海江田党首のサーバーはApache1.3.42

毎日新聞のWEBサーバーはApache2.2.3とPHP5.1.6

まずFirefoxLive HTTP Headersのアドオンを入れた状態で、毎日新聞のサイトを開いて、右クリックで「ページの情報を表示」→「ヘッダ」を選ぶとレスポンスヘッダが見られるのですが、ここに「X-Powerd-By  PHP5.1.6」と書かれてあるのが確認できるかと思います。PHPのバージョンが露出している状態です。

c2c3e29631ba79d1d80453acb49efc7a

ServerヘッダでApacheのバージョンも露出していることがわかります。Apache2.2.3と比較的古めのバージョンを使っていることがわかります。Apache2.2.3やPHP5.1.6のバージョンに関しては既に報告されている脆弱性がいくつもあって、パッチを適用していないならば、Apache Killerなどの攻撃スクリプトが叩きこめてしまう可能性があることがわかってしまいます。

これは不正にアクセスして入手した情報でも何でもなくて、毎日新聞のWEBサーバーがリクエスト(要求)に対してレスポンス(応答)を返す際に、「私のサーバーはApache2.2.3でPHP5.1.6で構成されています!」と自ら宣言しているのです。これらの情報はApacheやPHPの設定で隠蔽可能なのですが、隠蔽されていないためバージョンが筒抜けの公開状態になっています。特殊なツールやサイトを使わなくても、メジャーなブラウザでこの公開情報に簡単にアクセスできます。

このような状態でWEBサーバーの種類やバージョン情報を自ら公開しているサイトは沢山あります。最近、国会が熱いので、今回は政治に焦点を当ててご紹介します。

 

衆議院のサーバーはLotus-Domino、参議院はApache2.0.52(RedHat)

まず、衆議院から。衆議院のサーバーでは、ヘッダ情報でWEBサーバーのOSの種類を「Lotus-Domino」と返してきました。IBMのLotus Dominoが使われているようですね。プラットフォームやバージョンまではわかりませんが、昨年、衆議院のサーバーがトロイの木馬のウィルスに感染した事件が起きたことを考えると、Windowsサーバープラットフォームの可能性が高いのかなと思います。

ちなみに、参議院はApache2.0.52(RedHat)でした。Windowsサーバーの衆議院と、Linuxサーバーの参議院。こんなところにも衆参の独立が機能していて、衆議院サーバーのウィルス感染事件が参議院に飛び火せずにすんだのかもしれません。参議院はApacheのバージョンをもう少し上げたほうが良いと思いますが…。

衆議院

28765e6877f409b33eb0e07d7084ac13

参議院

d3221eacbb4a0d3a6430ed18c61efb00

 

党首対決!安倍自民党総裁の公式サイトはApache2.2.15、海江田民主党党首の公式サイトはApache1.3.42

政党の公式サイトはさすがにバージョン情報は隠蔽されていて、自民党のWEBサーバーはScutumというASP型セキュリティファイアウォールのヘッダが返ってきました。民主党のWEBサーバーは、Apacheというヘッダしか返ってきませんでした(ただ、CookieにPHPSESSIDを保存しようとしているのでPHPで構成されていると予想されます)。

では、党首の個人サイトはどうでしょうか。安倍晋三自民党総裁の公式サイトはApache2.2.15(CentOS)とPHP5.3.3構成、いっぽう海江田民主党党首の公式サイトはApache1.3.42でした。Apache2.4が公開されている時代にApache1.3を未だ使い続けているとは…。facebookを活用するなど安倍総理は最近WEBの活用に熱心で、民主党も海江田党首にスマホを持たせようとしていますが、既にWEBサーバーの時点でかなり歴然と新旧の差がついてしまっていたようです。

安倍晋三公式サイト

8d57409d80bf2e530981e29a519ba15f

海江田万里オフィシャルサイト

502da501286c6129d29296c1a503ed4d

 

WEBサーバーのレスポンスヘッダ情報はセキュリティホールになる

これらの情報は隠されているわけでも不正に入手したわけでも何でもなく、WEBサイトをブラウザで開いた時のレスポンスヘッダに書かれている「公開情報」です。もちろん、上記のOSやミドルウェアの種類やバージョンが露出されていることは、セキュリティホールにもなり得ます。設定で簡単に隠蔽できるので、ある程度の規模のWEBサービスだと、隠蔽するのはWEB業界では割と当たり前だったりするのですが、政治の世界はそうではなかったようです。あんまり外注のWEB制作受託会社に丸投げしないで、政治の世界の広報担当者はWEBセキュリティの本を1冊でも読まれると良いかもしれません。これ以外にもNetcraftとかでOSのバージョンは調べられるし、他の業界のサイトもけっこう危険です。セキュリティ意識を高めて行きましょう。今度は画像のEXIF情報で露出するデータについて書こうかな〜。

 

42 件のコメント

  • 「バージョンを隠しましょう」は本質的な話ではなくて「隠すとか隠さないとか関係なく、脆弱性の対策をしましょう」が本筋。 なぜなら攻撃者はバージョンストリングなんか大して参考にしないで無差別に既存の穴を狙

  • 他の方のコメントにもあるとおり、バージョンを隠すことは本質的な対策にはならない。バージョンの表示/非表示に関わらず脆弱性対策をすることが必要。

  • いまどきバナー隠しても意味ないって、誰かこの人に教えてあげてください

  • セキュリティ検査をすると必ず指摘されるめんどくさいだけのバナー送出事案を跳ね返せるだけの技術力がある証拠なの、かも、しれない。

  • よく隠すと良いよっておはなし見かけるけど隠すどころか存在すらしない phpMyAdmin や WordPress へ絨毯爆撃来るのが日常茶飯事だしなぁ・・・ (ーx【みかん

  • バージョンを隠すことの意義は他のコメントに譲るとして、Apache 2.2.3とPHP 5.1.6ってRHEL5でメンテナンスされてる構成。Apache2.0.52(RedHat)は多分RHEL4でELSを買っていれば2015年2月まで延長サポートあり、と。

  • 古いバージョンのアプリを使うだけで馬鹿にされるのかw 脆弱性対策さえちゃんとしてればどのアプリを使おうが個人の自由だろうに

  • 記事内容に否定的なコメントが多いけど、バージョンを隠すのも脆弱性対策の一つです。検査ツールを使うと必ず脆弱性として指摘されます。

  • 海江田万里オフィシャルサイトはさくらのレンタルサーバなので、Apache 1.3.42なのはさくら依存な件。

  • ≫ これらの情報はApacheやPHPの設定で隠蔽可能なのですが、隠蔽されていないためバージョンが筒抜けの公開状態になっています。

  • 毎日新聞のサーバーはPHP5.1.6、民主党海江田党首のサーバーはApache1.3.42:毎日新聞のWEBサーバーはApache2.2.3とPHP5.1.6 まずFirefoxで毎日新聞のサイトを開いて、右クリックで「..

  • ちゃんとディストリビューションのアップデートを追随してるなら枯れたバージョンを使う合理性はあると思うのだが。もっと最新の機能を使いこなすべきということなら無理があるし。

  • コメントの方が読む価値あり / 毎日新聞のサーバーはPHP5.1.6、民主党海江田党首のサーバーはApache1.3.42

  • コメントに書かれているとおり、RedHatなら古いバージョンを頑張って保守するスタイルなので、バージョンは意味ない。Browsing: "毎日新聞のサーバーはPHP5.1.6、民主党海江田党首のサーバーはApache1.3.42"

  • 周回遅れのセキュリティ叩きみたいで、ブコメにすでに書いてあった。バージョンを晒しやめよう→脆弱性対策が大事。Apache1系使うな→1系の方が枯れてるし、鯖屋に依存してるだけ。

  • 毎日新聞は嫌いなので擁護するつもりは無いのですが、Apache2.2.3とPHP5.1.6ってことなのでCentOS(もしくはRHEL?)5.xでしょうね。5.x系はサポート期間が延長されたのでしばらく安心かな。パッチをきちんと当てていれば問題ない。

  • アップデートしましょう。できないなら自前でサーバーなんて立てずどっかのサービス使いましょう

  • 「Windowsサーバーの衆議院と、Linuxサーバーの参議院。こんなところにも衆参の独立が機能していて、衆議院サーバーのウィルス感染事件が参議院に飛び火せずにすんだのかもしれません。」

  • 隠してないのは業者のせいかなぁ、まあ隠しても絨毯爆撃は来るので、パッチさえ当ててれば問題ないかなと。