JVNDB-2009-001884

Apache HTTP Server の mod_proxy におけるサービス運用妨害 (DoS) の脆弱性

Apache HTTP Server の mod_proxy モジュールにある stream_reqbody_cl 関数には、リバースプロキシが設定されている場合に、Content-Length 値を超えるストリームデータ量を適切に処理しないため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.3.3 未満

IBM

• IBM HTTP Server 7.0
• IBM WebSphere Application Server 7.0

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6
• Apple Mac OS X v10.6.1
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6
• Apple Mac OS X Server v10.6.1

オラクル

• Oracle HTTP Server
• OpenSolaris

サイバートラスト株式会社

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

ターボリナックス

• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ヒューレット・パッカード

• HP-UX Apache-based Web Server v.2.2.15.03 未満
• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

レッドハット

• Red Hat Application Stack v2
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 
• RHEL Desktop Workstation 5 (client) 

Oracle HTTP Server は、サポートされているすべてのリリースおよびパッチセットにより修正済みです。

第三者による巧妙に細工されたリクエストにより、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.12

IBM

• IBM Support Document : 4023947
• IBM Support Document : 7014463
• IBM Support Document : 7014506
• IBM サポート & ダウンロード : PK91259

アップル

• Apple Security Updates : HT3937
• Apple セキュリティアップデート : HT3937

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2013
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2013 Risk Matrices
• SECURITY BLOG : multiple_vulnerabilities_in_the_apache
• SECURITY BLOG : April 2013 Critical Patch Update Released

サイバートラスト株式会社

• Asianux Technical Support Network : httpd-2.2.3-22.2.1AXS3

ターボリナックス

• Turbolinux Security Advisory : TLSA-2009-21

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW313
• HP Security Bulletin : HPSBUX02612

レッドハット

• Red Hat Security Advisory : RHSA-2009:1148
• Red Hat Security Advisory : RHSA-2009:1156
• レッドハット セキュリティーアップデート : RHSA-2009:1148

1. リソースの枯渇(CWE-400) [NVD評価]

1. CVE-2009-1890

1. National Vulnerability Database (NVD) : CVE-2009-1890
2. Secunia Advisory : SA35793
3. Secunia Advisory : SA35691
4. SecurityFocus : 35565
5. SecurityTracker : 1022509
6. VUPEN Security : VUPEN/ADV-2009-1773
7. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 55553

• [2009年08月14日]
    掲載
  [2009年09月30日]
    影響を受けるシステム：IBM (4023947) の情報を追加
    ベンダ情報：IBM (4023947) を追加
  [2009年11月11日]
    影響を受けるシステム：アップル (HT3937) の情報を追加
    ベンダ情報：IBM (PK91259) を追加
    ベンダ情報：アップル (HT3937) を追加
  [2009年12月25日]
    影響を受けるシステム：IBM (7014463) の情報を追加
    ベンダ情報：IBM (7014463) を追加
    ベンダ情報：IBM (7014506) を追加
  [2010年10月28日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_the_apache) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_the_apache) を追加
  [2010年12月15日]
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW313) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02612) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02612) を追加
  [2013年04月19日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - April 2013) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2013) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2013 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2013 Critical Patch Update Released) を追加