ApacheのChunkエンコードのバグによる重大な脆弱性（続報）

　昨日お伝えしたApacheのChunkエンコードのバグによる重大な脆弱性だが、各ベンダーやセキュリティサイトの情報が多数公開されている。

　しかし、実際にはDoS攻撃以外の深刻な脆弱性も存在しているにも関わらず、DoS攻撃に対する脆弱性といった情報が一部で配布されたため若干の混乱が見られた。Webサーバー管理者は引き続きこの問題に対する情報に留意する必要があるだろう。

　なお現在、この問題を修正された新バージョンである、1.3系最新版「1.3.26」と、2.X系最新版「2.0.39」がリリースされているため、直ちにアップデートを施す必要がある。

Apache Group
http://httpd.apache.org/
http://httpd.apache.org/info/security_bulletin_20020617.txt

最新版ダウンロードサイト
http://www.apache.org/dist/httpd/

CERT Coordination Center (CERT/CC)
CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html

CERT/CC Vulnerability Note
VU#944335 Apache web servers fail to handle chunks with a negative
size
http://www.kb.cert.org/vuls/id/944335

Common Vulnerabilities and Exposures (CVE)
CAN-2002-0392
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0392

Internet Security Systems Security Advisory
Remote Compromise Vulnerability in Apache HTTP Server
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20502

Internet Security Systems Security Advisory
Apache Server におけるリモートからのセキュリティ侵害の脆弱性
http://www.isskk.co.jp/support/techinfo/general/Vul_ApacheServer_xforce.html

IPA
Apache Web Server に脆弱性（CA-2002-17)
http://www.ipa.go.jp/security/news/news.html

Securiteam.com
Remote Compromise Vulnerability in Apache HTTP Server (Chunked
Encoding)
http://www.securiteam.com/unixfocus/5HP0G207FY.html

SecurityFocus
Apache httpd: vulnerability with chunked encoding
http://online.securityfocus.com/archive/1/277268/2002-06-14/2002-06-20/0

SecurityFocus
ISS Advisory: Remote Compromise Vulnerability in Apache HTTP
Server
http://online.securityfocus.com/archive/1/277249/2002-06-14/2002-06-20/0

SecurityFocus
Silicon Graphics : Apache Web Server Chunk Handling vulnerability
http://online.securityfocus.com/advisories/4212

SecurityFocus
Silicon Graphics : Apache Web Server Chunk Handling vulnerability
http://online.securityfocus.com/advisories/4213

Incidents.org - Handlers Diary 2002/06/20 追加
Remote Compromise Vulnerability in Apache HTTP Server
http://www.incidents.org/diary/index.html?id=161

Debian GNU/Linux ─ Security Information 2002/06/20 追加
DSA-131-1 apache
http://www.debian.org/security/2002/dsa-131

Debian GNU/Linux ─ Security Information 2002/06/20 追加
DebianLinux:Apache chunk handling vulnerability
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00041.html

Debian GNU/Linux ─ Security Information 2002/06/20 追加
DSA-131-2 apache
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00042.html

Debian GNU/Linux ─ Security Information 2002/06/20 追加
DSA-132-1 apache-ssl
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00043.html

SGI Security Advisory 2002/06/20 追加
20020605-01-A Apache Web Server Chunk Handling vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020605-01-A

Linuxsecurity 2002/06/20 追加
Apache: Remote Denial of Service
http://www.linuxsecurity.com/advisories/other_advisory-2135.html

SecurityFocus 2002/06/20 追加
KPMG-2002024: Apache Tomcat Path Disclosure
http://online.securityfocus.com/archive/1/277674/2002-06-16/2002-06-22/0

FreeBSD 2002/06/20 追加
ANNOUNCE: FreeBSD Security Notice FreeBSD-SN-02:04
http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/1000

VineLinux 2002/06/20 追加
Apache にセキュリティホール:
http://vinelinux.org/errata/25x/20020619.html

Linuxsecurity 2002/06/20 追加
SuSE: buffer overflow in httpd
http://www.linuxsecurity.com/advisories/suse_advisory-2139.html

Linuxsecurity 2002/06/20 追加
EnGarde: 'apache' chunk handling overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2137.html

Linuxsecurity 2002/06/20 追加
Debian: DoS attack in the Apache web-server
http://www.linuxsecurity.com/advisories/debian_advisory-2138.html

Linuxsecurity 2002/06/20 追加
OpenPKG: 'apache' Buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2141.html