Debian セキュリティ勧告

DSA-188-1 apache-ssl -- 複数の脆弱性

報告日時:
2002-11-05
影響を受けるパッケージ:
apache-ssl
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 5847, BugTraq ID 5884, BugTraq ID 5887, BugTraq ID 5995.
Mitre の CVE 辞書: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.
詳細:

David Wagner さんと iDEFENSE および Apache HTTP サーバプロジェクトによると、脆弱性が複数、広く利用されているウェブサーバである Apache パッケージに見つかりました。Apache および Apache-SSL パッケージはコードの大部分を共用しているため、脆弱性も同様に共用します。 この脆弱性は攻撃者に、サーバに対するサービス拒否やクロスサイトスクリプティング攻撃の実行、 他のウェブサイトユーザからのクッキー盗用を許す可能性があります。 旧式のプログラムである htdigest や htpasswd、ApacheBench の脆弱性は、CGI 経由で呼び出した場合悪用が可能です。さらに、htdigest および htpasswd での安全でない一時ファイル作成はローカルで悪用可能です。 The Common Vulnerabilities and Exposures (CVE) project は以下の脆弱性を認識しています:

  1. CAN-2002-0839: System V 共有メモリベースのスコアボードを使用したプラットフォームに脆弱性が存在します。 この脆弱性は攻撃者に Apache のユーザ ID の下でコード実行を許し、Apache 共有メモリスコアボードフォーマットを悪用して任意のプロセスに root でシグナルを送ったり、あるいはローカルサービス拒否攻撃を引き起こします。
  2. CAN-2002-0840: Apache はワイルドカード DNS の問い合わせを許可しているドメインでホストされているウェブサーバでのデフォルトの 404 ページにあるクロスサイトスクリプティング脆弱性の影響を受けやすくなっています。
  3. CAN-2002-0843: ユーティリティ ApacheBench (ab) はいくらかオーバーフローが可能で、悪意のあるサーバにより悪用可能です。
  4. CAN-2002-1233: htpasswd と htdigest プログラムの競合状態により、 悪意のあるローカルユーザは htpasswd (あるいは htdigest それぞれの) プログラムの実行ユーザでパスワードファイルの内容の読み込み、さらには変更、 あるいは簡単にファイルの作成や上書きができるようになります (apache-ssl パッケージにはバイナリが含まれませんが)。
  5. CAN-2001-0131: Apache の 2.0a9 や 1.3.14 その他の htpasswd および htdigest はローカルユーザに、 シンボリックリンク攻撃を経由した任意のファイルの上書きを許します。

    これは CAN-2002-1233 と同一の脆弱性で、potato ではすでに修正されていましたが後になくなってしまい、 上流には適用されませんでした (apache-ssl パッケージにはバイナリが含まれませんが)。

  6. CAN 割り当て無し: 複数のバッファオーバフローが ApacheBench (ab) ユーティリティに見つかりました。 長大な文字列を返すリモートサーバにより悪用可能です (apache-ssl パッケージにはバイナリが含まれませんが)。

この問題は現在の安定版 (stable) ディストリビューション (woody) ではバージョン 1.3.26.1+1.48-0woody3、旧安定版 (old stable) ディストリビューション (potato) では 1.3.9.13-4.2 で修正されています。不安定版 (unstable) ディストリビューション (sid) の修正版パッケージは、近く提供の予定です。

直ちに Apache-SSL パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.dsc
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.diff.gz
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.dsc
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.diff.gz
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。