公開日:2002/11/19 最終更新日:2002/11/19

JVNCA-2002-17
Apache Web サーバプログラムの脆弱性

概要

Apache Software Foundation の HTTP Server Project が提供している Web サーバプログラムに脆弱性が確認されました。HTTP/1.1 で規定されている chunked エンコーディングで送られてきたリクエストを適切に処理できない場合があるため、結果として、サービス運用妨害 (denial-of-service, DoS) を受けたり、遠隔から第三者がサーバプログラムのユーザ権限を取得する可能性があります。

影響を受けるシステム

詳細情報

想定される影響

サービス運用妨害 (denial-of-service, DoS) を受けたり、遠隔から第三者が httpd プロセスの権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Apache Software Foundation http://httpd.apache.org/
アップル Security Update July 2002
Debian apache -- リモートからのサービス停止 / 不正利用
Debian apache-ssl -- リモートからの DoS / 不正利用
Debian apache-perl -- リモートからの DoS / 不正利用
FreeBSD
富士通 CA-2002-17に対する富士通の情報
富士通 CA-2002-17に対するSolaris OEの情報
Hewlett-Packard Apache HTTP Serverにおける脆弱性(チャンクエンコーディング)
Hewlett-Packard Apacheにおけるセキュリティ脆弱性
日立 Apache Web Serverに関するセキュリティ問題の説明
IBM IBM HTTP Server 用セキュリティー脆弱性対応 修正プログラムについて
NEC Apache HTTP Server:チャンクハンドリングのセキュリティの脆弱性に関するご報告
OpenBSD セキュリティのための修正: 2002 年 6 月 19 日
オラクル Oracle HTTP Server : チャンクハンドリングのセキュリティの脆弱性
Red Hat Apache パッケージのアップデート
SGI
Sun Microystems Security Vulnerability in the Way Apache Web Servers Handle Data Encoded in Chunks
トレンドマイクロ Apache Web サーバにおけるChunk Handlingの問題
Turbolinux Japan apache: httpdサーバーのサービス停止
Vine Linux Apache にセキュリティホール

参考情報

  1. CERT Vulnerability Note VU#944335
    Apache web servers fail to handle chunks with a negative size
  2. CIAC Bulletin M-093
    Apache HTTP Server Chunk Encoding Vulnerability
  3. Internet Security Systems
    Apache Server におけるリモートからのセキュリティ侵害の脆弱性
  4. Internet Security Systems
    Apache HTTP Server の悪用の流通
  5. V-STAF: apache-chunked-encoding-bo (9249)
    Apache HTTP サーバのチャンクエンコード時におけるヒープバッファのオーバフロー
  6. IPA セキュリティセンター(IPA/ISEC)
    Apache Web サーバにおける chunk データ処理の脆弱性
  7. 警察庁
    Webサーバ用プログラム「Apache」のセキュリティホールに関する対策について
  8. LAC
    CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2002-0003
JPCERT/CC Alert 2002-06-20 Apache Web サーバプログラムの脆弱性に関する注意喚起
JPCERT REPORT JPCERT-WR-2002-2401
JPCERT/CC REPORT 2002-06-26
JPCERT-WR-2002-2701
JPCERT/CC REPORT 2002-07-17
CERT Advisory CERT Advisory CA-2002-17
Apache Web Server Chunk Handling Vulnerability
CPNI Advisory
TRnotes
CVE CVE-2002-0392
VU#944335,XF9249
JVN iPedia