公開日:2006/07/31 最終更新日:2015/10/21

JVNVU#395412
Apache httpd の mod_rewrite モジュールにおけるバッファオーバーフローの脆弱性

概要


Apache httpd に付属している mod_rewrite モジュールには、バッファオーバーフローの脆弱性が存在します。Apache httpd は the Apache HTTP Server Project が提供している Web サーバプログラムです。mod_rewrite は httpd の機能を追加するモジュールのひとつです。

Apache が配布しているソースコードに含まれる httpd.conf では mod_rewrite は使われていません。また、OS 環境によっても影響が変わることが、Apache のアドバイザリで述べられています。

影響を受けるシステム

  • Apache httpd 1.3 系 (1.3.28 から 1.3.36 まで)
  • Apache httpd 2.0 系 (2.0.46 から 2.0.58 まで)
  • Apache httpd 2.2 系 (2.2.0 から 2.2.2 まで)

詳細情報

想定される影響


OS 環境や httpd の設定内容により異なりますが、最悪の場合、遠隔の第三者から送信された不正なリクエストによって、httpd の実行権限で任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2006/09/20
インターネットイニシアティブ 該当製品無し 2006/07/31
センチュリー・システムズ 該当製品無し(調査中) 2006/08/18
ターボリナックス 該当製品あり 2006/08/08
リコー 該当製品無し 2006/08/03
富士通株式会社 該当製品あり 2015/10/13
日立 該当製品無し(調査中) 2006/07/31
ベンダ リンク
Apache Software Foundation http://httpd.apache.org/security/vulnerabilities_22.html#2.2.3
Apache Software Foundation http://httpd.apache.org/security/vulnerabilities_20.html#2.0.59
Apache Software Foundation http://httpd.apache.org/security/vulnerabilities_13.html#1.3.37

参考情報

  1. US-CERT Vulnerability Note VU#395412
    Apache mod_rewrite contains off-by-one error in ldap scheme handling

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-3747: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3747
JVN iPedia

更新履歴

2006/07/31
株式会社インターネットイニシアティブの JVNVU#395412への対応が更新されました。
2006/07/31
富士通の JVNVU#395412への対応が更新されました。
2006/07/31
日立の JVNVU#395412への対応が更新されました。
2006/07/31
アライドテレシス株式会社の JVNVU#395412への対応が更新されました。
2006/08/03
ベンダ情報:リコーの情報を追加しました。
2006/08/03
リコーの JVNVU#395412への対応が更新されました。
2006/08/08
ベンダ情報:ターボリナックスの情報を追加しました。
2006/08/08
ターボリナックスの JVNVU#395412への対応が更新されました。
2006/08/18
ベンダ情報:センチュリー・システムズの情報を更新しました。
2006/08/18
センチュリー・システムズの JVNVU#395412への対応が更新されました。
2006/09/20
アライドテレシス株式会社の JVNVU#395412への対応が更新されました。
2006/09/21
ベンダ情報:アライドテレシス株式会社の情報を更新しました。
2006/11/02
ベンダ情報:富士通の情報を更新しました。
2006/11/02
富士通の JVNVU#395412への対応が更新されました。
2007/02/15
ベンダ情報:富士通の情報を更新しました。
2007/02/15
富士通の JVNVU#395412への対応が更新されました。
2015/10/21
富士通株式会社のベンダステータスが更新されました