Apache の SSL に無限ループで CPU を消費する欠陥

2004-9-8 13:38
このエントリーをはてなブックマークに追加

Apache 2.0.50 以前に、SSL の処理中に無限ループが発生し、CPU を消費してしまう不具合が見つかりました。これを利用した DoS 攻撃の可能性がある脆弱性です。(CAN-2004-0748)

これは、ssl_engine_io.c の ssl_io_inline_read 中で、特定の条件で while(1){ ~ } の無限ループから脱出できないというもので、パッチも公開されています。Apache 2.0.51 には取り込まれる予定の他、Red Hat Enterprise Linux 3 用の RPM はすでに公開されています。

私が公開している Red Hat Linux 9 用の httpd 独自ビルドですが、ソースを見たり CVS の履歴を追う限りは、問題ないような気がします。というのも、Red Hat 9 に採用されている Apache 2.0.40 では、ssl_io_inline_read 中に無限ループコードがそもそも存在していないので。 おそらく、Revision 1.83 以降(2.0.44 以降)が影響をうけると思いますが、もしかしたら類似のバグか存在しているかも知れません。

Fedora Legacy の Bugzilla をチェックしておきますが、なにか情報がある方は教えて下さい。

9月15日追記

Fedora Legacy の Bugzilla で同意見の人がいました。やはり影響はなさそうです。

  • ブックマーク : アクセス: 5,802回
  • カテゴリー : Apache
  • キーワード : , , ,

1件のコメント

  1. Fedora Legacy アップデート 2004/10/12

    Fedora Legacy Project から、httpd (Apache HTTP Server) のアップデートがリリースされました。 Fedora Core 1 と Red Hat 9 が対象で、CAN-2004-0488 CAN-2004-0493 CAN-2004-0747 CAN-2004-0748 CAN-2004-0751 CAN-2004-0786 CAN-2004-0809 CAN-2004-0811 の脆弱性が…

    トラックバック by 津田ふみかの日記2004-10-12 13:25

Sorry, the comment form is closed at this time.

70 queries. HTML convert time: 1.234 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン