Debian セキュリティ勧告
DSA-067-1 apache -- リモートからの攻撃
- 報告日時:
- 2001-07-28
- 影響を受けるパッケージ:
- apache, apache-ssl
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 3009.
Mitre の CVE 辞書: CVE-2001-0925. - 詳細:
-
Debian の安定版のディストリビューションに含まれる `apache' パッケージ
には SecurityFocus
で詳細に記述されている「人工的に作成されたスラッシュが長く連続するパスリストに関する弱点」があるという報告がありました。
この弱点は Dan Harkless さんにより bugtraq に報告されたものです。
この弱点についての SecurityFocus の解説から引用します。
パッケージに問題があり、ディレクトリ表示とパス探索を許してしまっています。 標準設定下では apache は mod_dir、mod_autoindex、mod_autoindex と mod_negotiation を有効にしていますが、apache サーバに対して特別に作成した人工的に作成した多数のスラッシュからなるリクエストを与えることにより、 これらのモジュールを誤動作させ、エラーページを回避してディレクトリの内容のリストを表示させることができます。
この弱点を使って悪意を持ったリモートのユーザが情報を抜き取る攻撃を行うことができますし、 これはシステムに対する攻撃につながるかもしれません。 この脆弱性は、Apache のバージョン 1.3.19 以前のものすべてにあります。
この問題は apache-ssl 1.3.9-13.3 と apache 1.3.9-14 で修正されており、すぐにパッケージをアップグレードすることを薦めます。
注意: .dsc 記載と .diff.gz ファイルの MD5Sum は不整合です。 これはこの二ファイルが安定版から事後にコピーされたためです。 .diff.gz の内容が同じであることのチェックは、なされています。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
apache
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb
apache-ssl
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。