Apache 2.0.50 以前に mod_dav の脆弱性
2004-9-15 21:07
Apache Week によると、Apache 2.0.35~50 の mod_dav モジュールに脆弱性があり、悪意のある WebDAV クライアントの LOCK メソッドでプロセスがクラッシュして DoS 攻撃の可能性があるらしいです。Secunia のアドバイザリ。(CAN-2004-0809)
該当する Apache の Bugzilla は Bug 31183 – LOCK refresh request crashes server でしょうか。
Fedora Legacy の Bugzilla には無かったので、登録してみました。
9月16日追記
Bugzilla は、CAN-2004-0809 に加えて CAN-2004-0786、CAN-2004-0747 が統合されました。
CAN-2004-0786 は、細工された IPv6 の URI のパース処理でクラッシュが発生し、一部の BSD システムでは任意のコードが実行可能と言うもの。RHEL3 のアップデートにはこの修正が含まれています。
CAN-2004-0747 は、不正な .htaccess ファイルによりバッファオーバーフローが引き起こされる欠陥。レンタルサーバ等でユーザに .htaccess を許可している場合には、apache の権限を乗っ取られる可能性があります。
2.0.50 用のパッチが出ています。これから確認しますが、ちょっと大変ですねー。
複数の脆弱性を修正した Apache の RPM (Red Hat 9 用)
Apache 2.0.50 以前に mod_dav の脆弱性、Apache 2.0.44-50 に SSL proxy でクラッシュする欠陥などでも書きましたが、Apache HTTP Server に、複数の欠陥が見つかっています。(CAN-2004-0747、CAN-2004-0748、CAN-2004-0751、CAN-2004-0768、CAN-2004-0809) これらの欠…
トラックバック by 津田ふみかの日記 — 2004-09-28 23:29
Fedora Legacy アップデート 2004/10/12
Fedora Legacy Project から、httpd (Apache HTTP Server) のアップデートがリリースされました。 Fedora Core 1 と Red Hat 9 が対象で、CAN-2004-0488 CAN-2004-0493 CAN-2004-0747 CAN-2004-0748 CAN-2004-0751 CAN-2004-0786 CAN-2004-0809 CAN-2004-0811 の脆弱性が…
トラックバック by 津田ふみかの日記 — 2004-10-12 13:24