Debian セキュリティ勧告

DSA-131-1 apache -- リモートからのサービス停止 / 不正利用

報告日時:

2002-06-19

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 5033.
Mitre の CVE 辞書: CVE-2002-0392.
CERT の脆弱性リスト、勧告および付加情報: CA-2002-17, VU#944335.

詳細:

Mark Litchfield さんは、Apache ウェブサーバにサービス停止攻撃の脆弱性を発見しました。この問題を Apache Software Foundation が調査したところ、さらにチャンクコーディングを扱う際に無効なリクエストを扱う処理において、64 ビットアーキテクチャのマシンでは任意のコードの実行を許してしまう可能性があることがわかりました。

この問題は、Debian の apache バージョン 1.3.9-14.1 および上流ではバージョン versions 1.3.26 と 2.0.37 で修正されています。 apache パッケージを早急にアップグレードすることを強くお勧めします。

このパッケージアップグレードによって、自動的に apache サーバが再起動されることはありませんので、手動で再起動する必要があります。設定が正しいかどうかを確認した上で ("apachectl configtest" で確認できます)、"/etc/init.d/apache restart" によって再起動してください。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.1.dsc; http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14.1_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。