各位
Apache Web サーバプログラムの脆弱性に関する注意喚起
Vulnerability of Apache Web server program
http://www.jpcert.or.jp/at/2002/at020003.txt
I. 概要
Apache Software Foundation の HTTP Server Project が提供している Webサーバプログラムに脆弱性が発見されました。HTTP/1.1 で規定されているchunked エンコーディングで送られてきたリクエストを適切に処理できない場合があるため、結果として、サービス運用妨害を受けたり、遠隔から第三者がサーバプログラムのユーザ権限を取得する可能性があります。この問題は Webサーバプログラムを修正されたバージョンに更新することで解決します。
II. 対象
Apache Software Foundation より発行されているドキュメントによると、この問題が存在する Web サーバプログラムは以下のバージョンです。
1.2 系列: バージョン 1.2.2 以降
1.3 系列: バージョン 1.3.24 以前
2.0 系列: バージョン 2.0.36 以前
III. 対策
Apache Software Foundation の HTTP Server Project では、問題への対策を施したバージョンとして 1.3.26 および 2.0.39 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などをご検討ください。詳細については、各ベンダや配布元の提供する最新情報をご参照ください。
[関連文書]
※ 随時更新されていますので最新版をご確認ください。
Apache Security Advisory: June 17, 2002
http://httpd.apache.org/info/security_bulletin_20020617.txt
CERT Advisory CA-2002-17
Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
Debian Security Advisory DSA-131-1
apache -- remote DoS / exploit
http://www.debian.org/security/2002/dsa-131
Debian Security Advisory DSA-132-1
apache-ssl -- remote DoS / exploit
http://www.debian.org/security/2002/dsa-132
FreeBSD Security Notices FreeBSD-SN-02:04
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:04.asc
OpenBSD 3.1 errata 005: SECURITY FIX: Jun 19, 2002
http://www.openbsd.org/errata.html#httpd
RedHat Advisory RHSA-2002:103-13
Updated Apache packages fix chunked encoding issue
http://rhn.redhat.com/errata/RHSA-2002-103.html
SGI Security Advisory
Apache Web Server Chunk Handling vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020605-01-A
Vine Linux errata
Apache にセキュリティホール
http://www.vinelinux.org/errata/25x/20020619.html
CERT Vulnerability Note VU#944335
Apache web servers fail to handle chunks with a negative size
http://www.kb.cert.org/vuls/id/944335
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2002-0003
JPCERT/CC
2002-06-20
JPCERT/CC Alert 2002-06-20
Apache Web サーバプログラムの脆弱性に関する注意喚起
Vulnerability of Apache Web server program
http://www.jpcert.or.jp/at/2002/at020003.txt
I. 概要
Apache Software Foundation の HTTP Server Project が提供している Webサーバプログラムに脆弱性が発見されました。HTTP/1.1 で規定されているchunked エンコーディングで送られてきたリクエストを適切に処理できない場合があるため、結果として、サービス運用妨害を受けたり、遠隔から第三者がサーバプログラムのユーザ権限を取得する可能性があります。この問題は Webサーバプログラムを修正されたバージョンに更新することで解決します。
II. 対象
Apache Software Foundation より発行されているドキュメントによると、この問題が存在する Web サーバプログラムは以下のバージョンです。
1.2 系列: バージョン 1.2.2 以降
1.3 系列: バージョン 1.3.24 以前
2.0 系列: バージョン 2.0.36 以前
III. 対策
Apache Software Foundation の HTTP Server Project では、問題への対策を施したバージョンとして 1.3.26 および 2.0.39 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などをご検討ください。詳細については、各ベンダや配布元の提供する最新情報をご参照ください。
[関連文書]
※ 随時更新されていますので最新版をご確認ください。
Apache Security Advisory: June 17, 2002
http://httpd.apache.org/info/security_bulletin_20020617.txt
CERT Advisory CA-2002-17
Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
Debian Security Advisory DSA-131-1
apache -- remote DoS / exploit
http://www.debian.org/security/2002/dsa-131
Debian Security Advisory DSA-132-1
apache-ssl -- remote DoS / exploit
http://www.debian.org/security/2002/dsa-132
FreeBSD Security Notices FreeBSD-SN-02:04
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:04.asc
OpenBSD 3.1 errata 005: SECURITY FIX: Jun 19, 2002
http://www.openbsd.org/errata.html#httpd
RedHat Advisory RHSA-2002:103-13
Updated Apache packages fix chunked encoding issue
http://rhn.redhat.com/errata/RHSA-2002-103.html
SGI Security Advisory
Apache Web Server Chunk Handling vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020605-01-A
Vine Linux errata
Apache にセキュリティホール
http://www.vinelinux.org/errata/25x/20020619.html
CERT Vulnerability Note VU#944335
Apache web servers fail to handle chunks with a negative size
http://www.kb.cert.org/vuls/id/944335
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/