Apache 2.0.50 以前に mod_dav の脆弱性

2004-9-15 21:07
このエントリーをはてなブックマークに追加

Apache Week によると、Apache 2.0.35~50 の mod_dav モジュールに脆弱性があり、悪意のある WebDAV クライアントの LOCK メソッドでプロセスがクラッシュして DoS 攻撃の可能性があるらしいです。Secunia のアドバイザリ。(CAN-2004-0809)

該当する Apache の Bugzilla は Bug 31183 – LOCK refresh request crashes server でしょうか。
Fedora Legacy の Bugzilla には無かったので、登録してみました

9月16日追記

Bugzilla は、CAN-2004-0809 に加えて CAN-2004-0786CAN-2004-0747 が統合されました。

CAN-2004-0786 は、細工された IPv6 の URI のパース処理でクラッシュが発生し、一部の BSD システムでは任意のコードが実行可能と言うもの。RHEL3 のアップデートにはこの修正が含まれています。

CAN-2004-0747 は、不正な .htaccess ファイルによりバッファオーバーフローが引き起こされる欠陥。レンタルサーバ等でユーザに .htaccess を許可している場合には、apache の権限を乗っ取られる可能性があります。

2.0.50 用のパッチが出ています。これから確認しますが、ちょっと大変ですねー。

2 Comments

  1. 複数の脆弱性を修正した Apache の RPM (Red Hat 9 用)

    Apache 2.0.50 以前に mod_dav の脆弱性、Apache 2.0.44-50 に SSL proxy でクラッシュする欠陥などでも書きましたが、Apache HTTP Server に、複数の欠陥が見つかっています。(CAN-2004-0747、CAN-2004-0748、CAN-2004-0751、CAN-2004-0768、CAN-2004-0809) これらの欠…

    トラックバック by 津田ふみかの日記2004-09-28 23:29

  2. Fedora Legacy アップデート 2004/10/12

    Fedora Legacy Project から、httpd (Apache HTTP Server) のアップデートがリリースされました。 Fedora Core 1 と Red Hat 9 が対象で、CAN-2004-0488 CAN-2004-0493 CAN-2004-0747 CAN-2004-0748 CAN-2004-0751 CAN-2004-0786 CAN-2004-0809 CAN-2004-0811 の脆弱性が…

    トラックバック by 津田ふみかの日記2004-10-12 13:24

Sorry, the comment form is closed at this time.

34 queries. HTML convert time: 0.065 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン