Skip to content

サポート   >  セキュリティー&アップデート/ERRATA
 

Apache パッケージのアップデート

アドバイスID:  RHSA-2002:103-13
最終更新日:  2002-06-19

Security Advisory   セキュリティ・アドバイス

概要:

Apache Webサーバには、サービス拒否攻撃のラウンチに使用されたり、場合によってはリモートコードの実行を可能にするために使用されるような、セキュリティ上の脆弱性が含まれます。

1.3.24(を含む)までのApache Webサーバのバージョンには、"chunked"エンコード化を使ってエンコードされる要求を取り扱うルーチンの中に、バグがあります。巧妙に作成された無効な要求は、Apacheのチャイルドプロセスにmemcpy()機能を呼び出させ、そのバッファの終点を過ぎるまで書き込み、スタックを崩壊します。

Common Vulnerabilities and Exposuresプロジェクト(cve.mitre.org)により、このイシューはCAN-2002-0392と命名されています。

我々の調査によれば、このバグは32ビットプラットフォーム上のRed Hat Linux でApacheをランするサーバに対して、リモートアクセスを獲得する目的では使用できませんが、チャイルドプロセスを殺す原因になります。Apacheの親プロセスはこれに気づき、必要に応じて新しいチャイルドプロセスをスタートさせます。--- こうして、ノーマル時より多くのリソースが費やされます。

Apache Software Foundationによる調査では、一部のケースにおいて、64ビットプラットフォームへの汚染がより大きい場合があり、リモート的に利用され、当該サーバ上で任意のコードが実行されてしまう可能性を示唆しています。

我々はオフィシャルなApache 1.3.26リリースからセキュリティフィックスをbackported しました。これは当社のエラータパッケージへのアップグレードがもたらす影響を極力小さくするものと思われます。

Apacheのユーザの皆様は、このセキュリティイシューを是正するため、今回のエラータパッケージにアップデートしてください。

アップデート・パッケージ:

Red Hat Linux 6.2 Alpha
apache-1.3.22-5.6.alpha.rpm     e399aa8737897f24d4623095a172f006
apache-devel-1.3.22-5.6.alpha.rpm     8e9a722fded471509bc8931ae61d8129
apache-manual-1.3.22-5.6.alpha.rpm     88a016e02120651c31507e7b353ce70d
 
Red Hat Linux 6.2 Sparc
apache-1.3.22-5.6.sparc.rpm     1a04dc5b42074c669dddf758889fdbc6
apache-devel-1.3.22-5.6.sparc.rpm     e4b719011fc78631a7ef378c66ace855
apache-manual-1.3.22-5.6.sparc.rpm     cfe617f37ed9aab2365d67dca1f9fa52
 
Red Hat Linux 6.2 i386
apache-1.3.22-5.6.i386.rpm     6d4c4572e78e896a3524e27b3a66f95c
apache-devel-1.3.22-5.6.i386.rpm     192b4845d74ea1c4ca322dd12cff6753
apache-manual-1.3.22-5.6.i386.rpm     8c7c2dae4dbba20b9bc19627ca931c16
 
Red Hat Linux 7.0 Alpha
apache-1.3.22-5.7.1.alpha.rpm     ec7369dc5a84513635a5a98133be60be
apache-devel-1.3.22-5.7.1.alpha.rpm     dbae5cade3259bbcf757868f1715eedb
apache-manual-1.3.22-5.7.1.alpha.rpm     2a55386b504652e054bb640e5d201f20
 
Red Hat Linux 7.0 i386
apache-1.3.22-5.7.1.i386.rpm     731785ece8addde5d9428b9015c57866
apache-devel-1.3.22-5.7.1.i386.rpm     1fd7cc20f207610b860d9311fddbfa09
apache-manual-1.3.22-5.7.1.i386.rpm     2cadb7f177f0bb7269e6dd0a88578e4b
 
Red Hat Linux 7.1 Alpha
apache-1.3.22-5.7.1.alpha.rpm     ec7369dc5a84513635a5a98133be60be
apache-devel-1.3.22-5.7.1.alpha.rpm     dbae5cade3259bbcf757868f1715eedb
apache-manual-1.3.22-5.7.1.alpha.rpm     2a55386b504652e054bb640e5d201f20
 
Red Hat Linux 7.1 i386
apache-1.3.22-5.7.1.i386.rpm     731785ece8addde5d9428b9015c57866
apache-devel-1.3.22-5.7.1.i386.rpm     1fd7cc20f207610b860d9311fddbfa09
apache-manual-1.3.22-5.7.1.i386.rpm     2cadb7f177f0bb7269e6dd0a88578e4b
 
Red Hat Linux 7.1 ia64
apache-1.3.22-5.7.1.ia64.rpm     b981535612f142e5a639653f0910aba7
apache-devel-1.3.22-5.7.1.ia64.rpm     48e67955fa90dc3fca4a9fa54fab50f4
apache-manual-1.3.22-5.7.1.ia64.rpm     d7d617e218e24213b94a6c39414f2cc6
 
Red Hat Linux 7.2 i386
apache-1.3.22-6.i386.rpm     1f68721d45673d38ec8103e60f8b73f7
apache-devel-1.3.22-6.i386.rpm     c0c85594e3c818756922d227a111cbdc
apache-manual-1.3.22-6.i386.rpm     c2fab1baaac50f2f7852ca452733c395
 
Red Hat Linux 7.2 ia64
apache-1.3.22-6.ia64.rpm     1efb1921007440d3593299ef2a0e6cb5
apache-devel-1.3.22-6.ia64.rpm     f8f970bbc5c1fe493e7085e35c558b47
apache-manual-1.3.22-6.ia64.rpm     c838ac0248526139d2c706dd93e15f45
 
Red Hat Linux 7.2 s390
apache-1.3.22-6.s390.rpm     1959883b980c59a86077de0ef8873011
apache-devel-1.3.22-6.s390.rpm     a8c2450fa4a576fbe524a33a27dea985
apache-manual-1.3.22-6.s390.rpm     18e3fffc1dee3bb301c9b019f75e8869
 
Red Hat Linux 7.3 i386
apache-1.3.23-14.i386.rpm     28471eb382a8495f3b89fb7d802659e1
apache-devel-1.3.23-14.i386.rpm     e4995ac4b722f3e53566e4dcd1b07692
apache-manual-1.3.23-14.i386.rpm     be2830997ba9b1807d35985e6ab80caf
 
SRPMs
apache-1.3.22-5.6.src.rpm     c9cc91b855c94af3abe311195a04aade
apache-1.3.22-5.7.1.src.rpm     b1add5144050db80c5b2bdce9d548b58
apache-1.3.22-6.src.rpm     7f7dc17add4c51e87f575c9d92dbff93
apache-1.3.23-14.src.rpm     c591a36143a23a48706a88c1a031435f
 

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

参照:

http://httpd.apache.org/info/security_bulletin_20020617.txt
http://www.apacheweek.com/issues/02-06-21

キーワード:

apache,chunked,DoS,encording


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。