ApacheのChunkエンコードのバグによる重大な脆弱性(続報)
昨日お伝えしたApacheのChunkエンコードのバグによる重大な脆弱性だが、各ベンダーやセキュリティサイトの情報が多数公開されている。
製品・サービス・業界動向
業界動向
しかし、実際にはDoS攻撃以外の深刻な脆弱性も存在しているにも関わらず、DoS攻撃に対する脆弱性といった情報が一部で配布されたため若干の混乱が見られた。Webサーバー管理者は引き続きこの問題に対する情報に留意する必要があるだろう。
なお現在、この問題を修正された新バージョンである、1.3系最新版「1.3.26」と、2.X系最新版「2.0.39」がリリースされているため、直ちにアップデートを施す必要がある。
Apache Group
http://httpd.apache.org/
http://httpd.apache.org/info/security_bulletin_20020617.txt
最新版ダウンロードサイト
http://www.apache.org/dist/httpd/
CERT Coordination Center (CERT/CC)
CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
CERT/CC Vulnerability Note
VU#944335 Apache web servers fail to handle chunks with a negative
size
http://www.kb.cert.org/vuls/id/944335
Common Vulnerabilities and Exposures (CVE)
CAN-2002-0392
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0392
Internet Security Systems Security Advisory
Remote Compromise Vulnerability in Apache HTTP Server
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20502
Internet Security Systems Security Advisory
Apache Server におけるリモートからのセキュリティ侵害の脆弱性
http://www.isskk.co.jp/support/techinfo/general/Vul_ApacheServer_xforce.html
IPA
Apache Web Server に脆弱性(CA-2002-17)
http://www.ipa.go.jp/security/news/news.html
Securiteam.com
Remote Compromise Vulnerability in Apache HTTP Server (Chunked
Encoding)
http://www.securiteam.com/unixfocus/5HP0G207FY.html
SecurityFocus
Apache httpd: vulnerability with chunked encoding
http://online.securityfocus.com/archive/1/277268/2002-06-14/2002-06-20/0
SecurityFocus
ISS Advisory: Remote Compromise Vulnerability in Apache HTTP
Server
http://online.securityfocus.com/archive/1/277249/2002-06-14/2002-06-20/0
SecurityFocus
Silicon Graphics : Apache Web Server Chunk Handling vulnerability
http://online.securityfocus.com/advisories/4212
SecurityFocus
Silicon Graphics : Apache Web Server Chunk Handling vulnerability
http://online.securityfocus.com/advisories/4213
Incidents.org - Handlers Diary 2002/06/20 追加
Remote Compromise Vulnerability in Apache HTTP Server
http://www.incidents.org/diary/index.html?id=161
Debian GNU/Linux ─ Security Information 2002/06/20 追加
DSA-131-1 apache
http://www.debian.org/security/2002/dsa-131
Debian GNU/Linux ─ Security Information 2002/06/20 追加
DebianLinux:Apache chunk handling vulnerability
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00041.html
Debian GNU/Linux ─ Security Information 2002/06/20 追加
DSA-131-2 apache
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00042.html
Debian GNU/Linux ─ Security Information 2002/06/20 追加
DSA-132-1 apache-ssl
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00043.html
SGI Security Advisory 2002/06/20 追加
20020605-01-A Apache Web Server Chunk Handling vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020605-01-A
Linuxsecurity 2002/06/20 追加
Apache: Remote Denial of Service
http://www.linuxsecurity.com/advisories/other_advisory-2135.html
SecurityFocus 2002/06/20 追加
KPMG-2002024: Apache Tomcat Path Disclosure
http://online.securityfocus.com/archive/1/277674/2002-06-16/2002-06-22/0
FreeBSD 2002/06/20 追加
ANNOUNCE: FreeBSD Security Notice FreeBSD-SN-02:04
http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/1000
VineLinux 2002/06/20 追加
Apache にセキュリティホール:
http://vinelinux.org/errata/25x/20020619.html
Linuxsecurity 2002/06/20 追加
SuSE: buffer overflow in httpd
http://www.linuxsecurity.com/advisories/suse_advisory-2139.html
Linuxsecurity 2002/06/20 追加
EnGarde: 'apache' chunk handling overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2137.html
Linuxsecurity 2002/06/20 追加
Debian: DoS attack in the Apache web-server
http://www.linuxsecurity.com/advisories/debian_advisory-2138.html
Linuxsecurity 2002/06/20 追加
OpenPKG: 'apache' Buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2141.html
《ScanNetSecurity》