JVNDB-2009-002016

APR ライブラリおよび APR-util ライブラリにおける整数オーバーフローの脆弱性

Apache Portable Runtime (APR) ライブラリ、および Apache Portable Utility ライブラリ (APR-util) には、整数オーバーフローの脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.0.64 未満
• Apache Portable Runtime 0.9.x
• Apache Portable Runtime 1.3.x
• APR-util 0.9.x
• APR-util 1.3.x

IBM

• IBM HTTP Server 6.0.2.39
• IBM HTTP Server 6.1.0.29
• IBM HTTP Server 7.0.0.7
• IBM HTTP Server 2.0.47.x
• IBM WebSphere Application Server 6.0.2.39
• IBM WebSphere Application Server 7.0.0.7
• IBM WebSphere Application Server 6.1.0.29

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6
• Apple Mac OS X v10.6.1
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6
• Apple Mac OS X Server v10.6.1

オラクル

• OpenSolaris
• Oracle Solaris 10 

ターボリナックス

• Turbolinux Appliance Server 2.0  
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux FUJI (延長メンテナンス)
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

トレンドマイクロ

• InterScan Messaging Security Suite 7.x
• InterScan Messaging Security Virtual Appliance 7.0
• TrendMicro InterScan Messaging Security Appliance 7.0

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 
• RHEL Desktop Workstation 5 (client) 

富士通

• Interstage Application Server
• Interstage Studio
• Interstage Web Server

第三者にサービス運用妨害 (DoS) 状態にされる、あるいは任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.0 vulnerabilities : Fixed in Apache httpd 2.0.64
• Apache Released : Apache 2.2.13 Released
• Apache Software Foundation : 1.3.x/CHANGES
• Apache Software Foundation : 0.9.x/CHANGES

IBM

• IBM Support Document : 7014506
• IBM Support Document : 7014463
• IBM Support Document : 7007033
• IBM Support Document : 7006876
• IBM Support Document : 7007951
• IBM Support Document : 7008517
• IBM Support Document : PM10658
• IBM Support Document : PK93225

アップル

• Apple Security Updates : HT3937
• Apple セキュリティアップデート : HT3937

オラクル

• SECURITY BLOG : cve_2010_0740_record_of

ターボリナックス

• Turbolinux Security Advisory : TLSA-2010-30

トレンドマイクロ

• Trend Micro ReadMe Documentation : readme_imss71_lin_criticalpatch_b12531
• Trend Micro ReadMe Documentation : readme_imss70_lin_criticalpatch_b33791
• Trend Micro ReadMe Documentation : readme_imss70_sol_criticalpatch_b81651
• Trend Micro ReadMe Documentation : readme_imss70_win_criticalpatch_b63681
• トレンドマイクロ サポート情報 : JP-2076110

ミラクル・リナックス

• Asianux Technical Support Network : apr-1.2.7-11AXS3.1
• Asianux Technical Support Network : apr-util-1.2.7-7AXS3.2
• MIRACLE LINUX アップデート情報 : 1761
• MIRACLE LINUX アップデート情報 : 1768
• MIRACLE LINUX アップデート情報 : 1769

レッドハット

• Red Hat Security Advisory : RHSA-2009:1204
• Red Hat Security Advisory : RHSA-2009:1205
• レッドハット セキュリティーアップデート : RHSA-2009:1204
• レッドハット セキュリティーアップデート : RHSA-2009:1205

富士通

• 富士通 セキュリティ情報 : interstage_as_201103

1. 数値処理の問題(CWE-189) [NVD評価]

1. CVE-2009-2412

1. National Vulnerability Database (NVD) : CVE-2009-2412
2. Secunia Advisory : SA36140
3. Secunia Advisory : SA36138
4. SecurityFocus : 35949
5. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 56766
6. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 56765

• [2009年09月17日]
    掲載
  [2009年11月06日]
    影響を受けるシステム：IBM (PK93225) の情報を追加
    ベンダ情報：IBM (PK93225) を追加
  [2009年12月21日]
    影響を受けるシステム：IBM (7014463) の情報を追加
    影響を受けるシステム：IBM (7006876) の情報を追加
    影響を受けるシステム：アップル (HT3937) の情報を追加
    ベンダ情報：IBM (7014506) を追加
    ベンダ情報：IBM (7014463) を追加
    ベンダ情報：IBM (7007033) を追加
    ベンダ情報：IBM (7006876) を追加
    ベンダ情報：アップル (HT3937) を追加
  [2010年02月05日]
    影響を受けるシステム：IBM (7007951) の情報を追加
    影響を受けるシステム：トレンドマイクロ (readme_imss71_lin_criticalpatch_b12531) の情報を追加
    影響を受けるシステム：トレンドマイクロ (readme_imss70_lin_criticalpatch_b33791) の情報を追加
    影響を受けるシステム：トレンドマイクロ (readme_imss70_sol_criticalpatch_b81651) の情報を追加
    影響を受けるシステム：トレンドマイクロ (readme_imss70_win_criticalpatch_b63681) の情報を追加
    影響を受けるシステム：トレンドマイクロ (JP-2076110) の情報を追加
    ベンダ情報：IBM (7007951) を追加
    ベンダ情報：IBM (7008517) を追加
    ベンダ情報：トレンドマイクロ (readme_imss71_lin_criticalpatch_b12531) を追加
    ベンダ情報：トレンドマイクロ (readme_imss70_lin_criticalpatch_b33791) を追加
    ベンダ情報：トレンドマイクロ (readme_imss70_sol_criticalpatch_b81651) を追加
    ベンダ情報：トレンドマイクロ (readme_imss70_win_criticalpatch_b63681) を追加
    ベンダ情報：トレンドマイクロ (JP-2076110) を追加
  [2010年04月28日]
    影響を受けるシステム：IBM (PM10658) の情報を追加
    ベンダ情報：IBM (PM10658) を追加
  [2010年08月02日]
    影響を受けるシステム：サン・マイクロシステムズ (cve_2010_0740_record_of) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (cve_2010_0740_record_of) を追加
  [2010年09月27日]
    影響を受けるシステム：ターボリナックス (TLSA-2010-30) の情報を追加
    ベンダ情報：ターボリナックス (TLSA-2010-30) を追加
  [2010年11月04日]
    影響を受けるシステム：Apache Software Foundation (Fixed in Apache httpd 2.0.64) の情報を追加
    ベンダ情報：Apache Software Foundation (Fixed in Apache httpd 2.0.64) を追加
  [2011年05月19日]
    影響を受けるシステム：サン・マイクロシステムズ (cve_2010_0740_record_of) の情報をオラクル (cve_2010_0740_record_of) の情報に変更
    ベンダ情報：サン・マイクロシステムズ (cve_2010_0740_record_of) の情報をオラクル (cve_2010_0740_record_of) に変更
  [2011年11月24日]
    影響を受けるシステム：富士通 (interstage_as_201103) の情報を追加
    ベンダ情報：富士通 (interstage_as_201103) を追加