Vulnerabilities
CVE-2015-5638 (Directory Traversal)
Date: Sep. 16, 2015
CVE-ID: CVE-2015-5638
CVE-ID: CVE-2015-5638
H2O (up to version 1.4.4 / 1.5.0-beta1) contains a flaw in its URL normalization logic.
When file.dir directive is used, this flaw allows a remote attacker to retrieve arbitrary files that exist outside the directory specified by the directive.
H2O version 1.4.5 and version 1.5.0-beta2 have been released to address this vulnerability.
Users are advised to upgrade their servers immediately.
(Japanese translation follows)
H2O(バージョン1.4.4以前および1.5.0-beta1以前)のURL正規化処理には不備があり、この結果、file.dirディレクティブを使用している場合、同ディレクティブで指定されたディレクトリ以外に存在する任意のファイルをリモートの攻撃者が取得できるという脆弱性が存在します。
この脆弱性を修正したH2Oバージョン1.4.5およびバージョン1.5.0-beta2がリリースされています。
ユーザの皆様におかれましては、直ちに最新版にアップグレードしていただきますようご案内申し上げます。