JVNDB-2009-001562

Apache HTTP Server における AllowOverride ディレクティブの処理に関する権限昇格の脆弱性

Apache HTTP Server には、AllowOverride ディレクティブの Options=IncludesNOEXEC を正しく処理しないため、.htaccess ファイル内の Options Includes、Options +Includes、および Options +IncludesNOEXEC の設定により権限を取得される脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.2.11 およびそれ以前

IBM

• IBM HTTP Server 7.0.0.5 未満
• IBM WebSphere Application Server 7.0.0.5 未満

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6
• Apple Mac OS X v10.6.1
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6
• Apple Mac OS X Server v10.6.1

オラクル

• OpenSolaris
• Oracle Solaris 10 

ターボリナックス

• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ヒューレット・パッカード

• HP-UX Apache-based Web Server v.2.2.15.03 未満
• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 
• RHEL Desktop Workstation 5 (client) 

ローカルユーザに、権限を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.12
• Apache-SVN : Revision 772997

IBM

• IBM サポート & ダウンロード : 7014506
• IBM サポート & ダウンロード : 7014463

アップル

• Apple Security Updates : HT3937
• Apple セキュリティアップデート : HT3937

オラクル

• SECURITY BLOG : multiple_vulnerabilities_in_the_apache

ターボリナックス

• Turbolinux Security Advisory : TLSA-2009-19

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW313
• HP Security Bulletin : HPSBUX02612

ミラクル・リナックス

• Asianux Technical Support Network : httpd-2.2.3-22.1.1AXS3

レッドハット

• Red Hat Security Advisory : RHSA-2009:1075
• レッドハット セキュリティーアップデート : RHSA-2009:1075

1. 環境設定(CWE-16) [NVD評価]

1. CVE-2009-1195

1. National Vulnerability Database (NVD) : CVE-2009-1195
2. Secunia Advisory : SA35261
3. Secunia Advisory : SA35264
4. SecurityFocus : 35115
5. ISS X-Force Database : 50808
6. SecurityTracker : 1022296
7. VUPEN Security : VUPEN/ADV-2009-1444
8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 54733

• [2009年07月06日]
    掲載
  [2009年08月11日]
    影響を受けるシステム：IBM (7014506) の情報を追加
    ベンダ情報：Apache Software Foundation (Fixed in Apache httpd 2.2.12) を追加
    ベンダ情報：IBM (7014506) を追加
  [2009年09月25日]
    影響を受けるシステム：IBM (7014463) の情報を追加
    ベンダ情報：IBM (7014463) を追加
  [2009年12月15日]
    影響を受けるシステム：アップル (HT3937) の情報を追加
    ベンダ情報：アップル (HT3937) を追加
  [2010年10月28日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_the_apache) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_the_apache) を追加
  [2010年12月15日]
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW313) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02612) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02612) を追加
  [2011年05月19日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_the_apache) の情報を更新