JVNDB-2007-000506

Apache HTTP Server の mod_cache モジュールにおける null である値をキャッシュしてしまう問題

Apache HTTP Server の mod_cache モジュールには Cache-Control ヘッダの処理に不備が存在するために、s-maxage,max-age,min-fresh,max-stale の値が null であるヘッダをキャッシュした際に、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.0.59 およびそれ以前
• Apache HTTP Server 2.2.4 およびそれ以前

IBM

• IBM HTTP Server 6.0.2.23 未満のバージョン
• IBM HTTP Server 6.1.0.13 未満のバージョン
• IBM HTTP Server 2.0.47

アップル

• Apple Mac OS X Server v10.4.11

ターボリナックス

• Turbolinux Appliance Server 2.0  
• Turbolinux FUJI
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

富士通

• Interstage Application Framework Suite
• Interstage Application Server
• Interstage Apworks
• Interstage Business Application Server
• Interstage Job Workload Server
• Interstage Studio
• Interstage Web Server
• Systemwalker Resource Coordinator

子プロセスがクラッシュし、サービス運用妨害 (DoS) 状態となる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.0 vulnerabilities : Fixed in Apache httpd 2.0.61-dev
• Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.6-dev

IBM

• IBM Support Document : PK49355
• IBM Support Document : 4017141
• IBM Support Document : 4017303
• IBM Support Document : Fix Pack 13 (6.1.0.13)

アップル

• Apple Security Updates : Security Update 2008-003

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2007-41
• 製品セキュリティ情報 : TLSA-2007-41

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02262
• HP セキュリティ報告 : HPSBUX02262

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : httpd (V3.0,V4.0)
• MIRACLE LINUX アップデート情報 : apache (V2.x)

レッドハット

• Red Hat Security Advisory : RHSA-2007:0533
• Red Hat Security Advisory : RHSA-2007:0534
• Red Hat Security Advisory : RHSA-2007:0556
• レッドハット セキュリティーアップデート : RHSA-2007:0533
• レッドハット セキュリティーアップデート : RHSA-2007:0534
• レッドハット セキュリティーアップデート : RHSA-2007:0556

富士通

• 富士通 セキュリティ情報 : interstage_as_200802

1. CVE-2007-1863

1. JVN : JVNTA08-150A
2. JVN Status Tracking Notes : TRTA08-150A
3. National Vulnerability Database (NVD) : CVE-2007-1863
4. US-CERT Cyber Security Alerts : SA08-150A
5. US-CERT Technical Cyber Security Alert : TA08-150A
6. SecurityFocus : 24649

• [2007年07月19日]
    掲載
  [2007年08月08日]
    影響を受けるシステム:Apache Software Foundation を更新しました。
    ベンダ情報: Apache Software Foundation の情報を追加しました。
    ・Fixed in Apache httpd 2.0.60-dev
    ・Fixed in Apache httpd 2.2.5-dev
  [2007年08月10日]
    影響を受けるシステム：ターボリナックス (TLSA-2007-41) の情報追加。
    ベンダ情報: ターボリナックス (TLSA-2007-41) 追加。
  [2007年08月23日]
    影響を受けるシステム：IBM (PK49355) の情報追加。
    ベンダ情報: IBM (PK49355) 追加。
  [2007年09月03日]
    ベンダ情報: Apache Software Foundation の情報を追加しました。
    ・Fixed in Apache httpd 2.0.61-dev
    ・Fixed in Apache httpd 2.2.6-dev
  [2007年10月11日]
    影響を受けるシステム：IBM (4017141) の情報追加。
    ベンダ情報: IBM (4017141) 追加。
  [2007年10月12日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02262) の情報追加。
    ベンダ情報: ヒューレット・パッカード (HPSBUX02262) 追加。
  [2008年06月17日]
    影響を受けるシステム：アップル (Security Update 2008-003) の情報を追加
    ベンダ情報：アップル (Security Update 2008-003) を追加
  [2009年02月09日]
    影響を受けるシステム：富士通 (interstage_as_200802) の情報を追加
    ベンダ情報：富士通 (interstage_as_200802) を追加