公開日:2006/07/31 最終更新日:2007/02/15

JVNVU#395412
Apache httpd の mod_rewrite モジュールにおけるバッファオーバーフローの脆弱性

概要


Apache httpd に付属している mod_rewrite モジュールには、バッファオーバーフローの脆弱性が存在します。Apache httpd は the Apache HTTP Server Project が提供している Web サーバプログラムです。mod_rewrite は httpd の機能を追加するモジュールのひとつです。

Apache が配布しているソースコードに含まれる httpd.conf では mod_rewrite は使われていません。また、OS 環境によっても影響が変わることが、Apache のアドバイザリで述べられています。

影響を受けるシステム

  • Apache httpd 1.3 系 (1.3.28 から 1.3.36 まで)
  • Apache httpd 2.0 系 (2.0.46 から 2.0.58 まで)
  • Apache httpd 2.2 系 (2.2.0 から 2.2.2 まで)


詳細情報

想定される影響


OS 環境や httpd の設定内容により異なりますが、最悪の場合、遠隔の第三者から送信された不正なリクエストによって、httpd の実行権限で任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品なし 2006/09/20
富士通 該当製品あり 2007/02/15
日立 該当製品なし:調査中 2006/07/31
インターネットイニシアティブ 該当製品なし 2006/07/31
リコー 該当製品なし 2006/08/03
センチュリー・システムズ 該当製品なし:調査中 2006/08/18
ターボリナックス 該当製品あり 2006/08/08
ベンダ リンク
Apache Software Foundation http://httpd.apache.org/security/vulnerabilities_22.html#2.2.3
Apache Software Foundation http://httpd.apache.org/security/vulnerabilities_20.html#2.0.59
Apache Software Foundation http://httpd.apache.org/security/vulnerabilities_13.html#1.3.37

参考情報

  1. US-CERT Vulnerability Note VU#395412
    Apache mod_rewrite contains off-by-one error in ldap scheme handling

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
TRnotes

更新履歴

2006/08/03
ベンダ情報:リコーの情報を追加しました。
2006/08/08
ベンダ情報:ターボリナックスの情報を追加しました。
2006/08/18
ベンダ情報:センチュリー・システムズの情報を更新しました。
2006/09/21
ベンダ情報:アライドテレシス株式会社の情報を更新しました。
2006/11/02
ベンダ情報:富士通の情報を更新しました。
2007/02/15
ベンダ情報:富士通の情報を更新しました。