mod_ssl の ssl_log() 関数に弱点
2004-7-26 00:15
IT Pro ニュース によると、Apache 用 SSL モジュールである mod_ssl に欠陥があるとのこと(CAN-2004-0700)。対策は mod_ssl 2.8.19-1.3.31 にアップグレードすることだそうです。
具体的には、ssl_engine_ext.c の ssl_log() 関数にフォーマットバグがあり、https://foo%s.example.com/
のような細工されたリクエストを送り込まれることにより、認証されていない攻撃者が、任意のコードを実行できる可能性があるということです。Apache 2.0 に含まれる mod_ssl モジュールには ssl_engine_ext.c が含まれないため、Apache 自体の修正は必要ないと思われます。(間違っていたら教えてください。)
コメントはまだありません
No comments yet.
Sorry, the comment form is closed at this time.