【活用ガイド】

JVNDB-2007-001017

Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題

概要

Apache HTTP Server は、413 エラーページを返す際、HTTP リクエストからの HTTP メソッドを適切に検査しない問題があります。
CVSS による深刻度 (CVSS とは?)

基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし

影響を受けるシステム


Apache Software Foundation
  • Apache HTTP Server 2.0.62 およびそれ以前
  • Apache HTTP Server 2.2.7 およびそれ以前
IBM
  • IBM HTTP Server 6.0.2.27 未満
  • IBM HTTP Server 6.1.0.15 未満
  • IBM HTTP Server 2.0.47.1 未満
アップル
  • Apple Mac OS X v10.5.2
  • Apple Mac OS X Server v10.5.2
ターボリナックス
  • Turbolinux 10 Server
  • Turbolinux 10 Server x64 Edition
  • Turbolinux 11 Server
  • Turbolinux 11 Server x64 Edition
  • Turbolinux Appliance Server 2.0
  • Turbolinux FUJI
  • Turbolinux Multimedia
  • Turbolinux Personal
ヒューレット・パッカード
  • HP-UX 11.11
  • HP-UX 11.23
  • HP-UX 11.31
ミラクル・リナックス
  • MIRACLE LINUX V3.0
  • MIRACLE LINUX V3.0 for x86-64
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Server Standard Edition Version 4
  • Cosminexus Server Web Edition Version 4
  • Cosminexus Server Enterprise Edition
  • Cosminexus Server Standard Edition
  • Cosminexus Server Web Edition
  • Hitachi Web Server
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Standard
  • uCosminexus Developer Professional
  • uCosminexus Developer Standard
  • uCosminexus Developer Light
  • uCosminexus Service Platform
  • uCosminexus Service Architect
富士通
  • Interstage Application Framework Suite
  • Interstage Application Server
  • Interstage Apworks
  • Interstage Business Application Server
  • Interstage Job Workload Server
  • Interstage Studio
  • Interstage Web Server
  • Systemwalker Resource Coordinator

想定される影響

ウェブクライアントコンポーネントを使用して、リクエスト中に任意のヘッダを送信され、クロスサイトスクリプティングの攻撃に利用される可能性があります。

なお、本問題を利用してクロスサイトスクリプティングの攻撃をするには、攻撃者がユーザに悪意ある HTTP メソッドを送信させることが前提条件と報告されています。
対策

ベンダより対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Apache Software Foundation IBM アップル ターボリナックス ヒューレット・パッカード ミラクル・リナックス
  • MIRACLE LINUX アップデート情報 : 1266
日立
  • Hitachi Software Vulnerability Information : HS08-004
  • ソフトウェア製品セキュリティ情報 : HS08-004
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-6203
参考情報

  1. JVN : JVNTA08-079A
  2. National Vulnerability Database (NVD) : CVE-2007-6203
  3. US-CERT Cyber Security Alerts : SA08-079A
  4. US-CERT Technical Cyber Security Alert : TA08-079A
  5. Secunia Advisory : SA27906
  6. SecurityFocus : 26663
  7. ISS X-Force Database : 38800
  8. SecurityTracker : 1019030
  9. FrSIRT Advisories : FrSIRT/ADV-2007-4060
更新履歴

[2007年12月20日]
  掲載
[2008年01月15日]
  影響を受けるシステム:IBM (PK57952) の情報追加。
  ベンダ情報:IBM (PK57952) 追加。
[2008年01月22日]
  タイトル、概要、想定される影響を修正しました。
[2008年02月04日]
  影響を受けるシステム:影響を受けるシステムのバージョンを更新しました。
  ベンダ情報: Apache Software Foundation の情報を追加。
  ・Changes with Apache 2.0.62
  ・Changes with Apache 2.2.7
[2008年03月11日]
  影響を受けるシステム:日立 (HS08-004) の情報追加。
  ベンダ情報: 日立 (HS08-004) 追加。
[2008年03月24日]
  影響を受けるシステム:アップル (Security Update 2008-002) の情報追加。
  ベンダ情報:アップル (Security Update 2008-002) 追加。
  ベンダ情報:IBM (7008517) 追加。
[2008年04月23日]
  影響を受けるシステム:ミラクル・リナックス (1266) の情報追加。
  ベンダ情報: ミラクル・リナックス (1266) 追加。
[2008年06月09日]
  影響を受けるシステム:IBM(4019245)の情報を追加
  ベンダ情報:IBM(4019245)を追加
  ベンダ情報:IBM(PK65782)を追加
[2008年07月09日]
  影響を受けるシステム:ターボリナックス(TLSA-2008-24) の情報を追加
  ベンダ情報:ターボリナックス(TLSA-2008-24) を追加
[2009年01月26日]
  影響を受けるシステム:富士通 (interstage_as_200807) の情報を追加
  ベンダ情報:富士通 (interstage_as_200807) を追加
[2009年11月13日]
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02465) の情報を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02465) を追加
[2010年12月20日]
  ベンダ情報:ヒューレット・パッカード (HPSBUX02612) を追加