公開日:2004/09/15 最終更新日:2005/10/04

NISCC-403518
Apache に関する複数の脆弱性

概要


Apache に関する複数の脆弱性が確認されています。

+ apr-util ライブラリに脆弱性が確認されました。

+ .htaccess、httpd.conf などの設定ファイル内の環境変数を扱う際にバッファオーバーフローすることが確認されました。


影響を受けるシステム


  • Apache 2.0.x web server

  • 詳細情報

    想定される影響


    Apacheが稼動しているシステム上で任意のコードが実行される可能性があります。

    対策方法

    ベンダ情報

    ベンダ ステータス ステータス
    最終更新日
    ベンダの告知ページ
    クオリティ 該当製品無し 2004/09/15
    ターボリナックス 該当製品あり 2004/09/17
    テクマトリックス 該当製品無し 2004/09/15
    トレンドマイクロ 該当製品無し(調査中) 2004/09/17
    ミラクル・リナックス 該当製品あり 2004/09/21
    富士通 該当製品無し 2005/10/04 富士通 の告知ページ
    日立 該当製品無し 2004/09/15

    参考情報

    1. ISS X-Force Database: apache-env-configuration-bo (17384)
      Apache HTTP Server environment variable configuration file buffer overflow
    2. ISS X-Force Database: apache-ipv6-aprutil-dos (17382)
      Apache HTTP Server IPv6 apr_util denial of service

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT JPCERT-WR-2004-3701
    JPCERT/CC REPORT 2004-09-22
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CAN-2004-0747
    XF17384
    CAN-2004-0786
    XF17382
    JVN iPedia