mod_ssl の ssl_log() 関数に弱点

2004-7-26 00:15
このエントリーをはてなブックマークに追加

IT Pro ニュース によると、Apache 用 SSL モジュールである mod_ssl に欠陥があるとのこと(CAN-2004-0700)。対策は mod_ssl 2.8.19-1.3.31 にアップグレードすることだそうです。

具体的には、ssl_engine_ext.c の ssl_log() 関数にフォーマットバグがあり、https://foo%s.example.com/ のような細工されたリクエストを送り込まれることにより、認証されていない攻撃者が、任意のコードを実行できる可能性があるということです。Apache 2.0 に含まれる mod_ssl モジュールには ssl_engine_ext.c が含まれないため、Apache 自体の修正は必要ないと思われます。(間違っていたら教えてください。)

  • ブックマーク : アクセス: 9,802回
  • カテゴリー : Apache

コメントはまだありません

No comments yet.

Sorry, the comment form is closed at this time.

31 queries. HTML convert time: 0.084 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン