JVNDB-2010-001173

Apache HTTP Server の ap_proxy_ajp_request 関数におけるサービス運用妨害 (DoS) の脆弱性

Apache HTTP Server の mod_proxy_ajp.c の ap_proxy_ajp_request 関数には、リクエストボディが存在しない HTTP リクエストの取り扱いに不備が存在するため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.2.15 未満
• Apache HTTP Server 2.3.6 未満

IBM

• IBM HTTP Server 6.0
• IBM HTTP Server 6.1
• IBM HTTP Server 7.0
• IBM WebSphere Application Server 7.0

アップル

• Apple Mac OS X v10.6 から v10.6.4
• Apple Mac OS X Server v10.6 から v10.6.4

オラクル

• Oracle HTTP Server
• OpenSolaris
• Oracle Solaris 10 

ターボリナックス

• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ヒューレット・パッカード

• HP-UX Apache-based Web Server v.2.2.15.03
• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.4.z (server) 
• RHEL Desktop Workstation 5 (client) 

Oracle HTTP Server は、サポートされているすべてのリリースおよびパッチセットにより修正済みです。

巧妙に細工されたリクエストを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.15
• Apache Software Foundation : Changes with Apache 2.3.6
• Apache-SVN : 917876

IBM

• IBM Support Document : PM08939
• IBM Support Document : 4026207
• IBM Support Document : 7014463
• IBM Support Document : 7014506

アップル

• Apple Security Updates : HT4435
• Apple セキュリティアップデート : HT4435

オラクル

• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2013 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2013
• SECURITY BLOG : multiple_vulnerabilities_in_the_apache
• SECURITY BLOG : April 2013 Critical Patch Update Released

ターボリナックス

• Turbolinux Security Advisory : TLSA-2010-8

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW313
• HP Security Bulletin : HPSBUX02531

ミラクル・リナックス

• Asianux Technical Support Network : httpd-2.2.3-31.4.0.1.AXS3

レッドハット

• Red Hat Security Advisory : RHSA-2010:0168

1. その他(CWE-Other) [NVD評価]

1. CVE-2010-0408

1. JVN : JVNVU#331391
2. National Vulnerability Database (NVD) : CVE-2010-0408
3. Secunia Advisory : SA38776
4. SecurityFocus : 38491
5. VUPEN Security : VUPEN/ADV-2010-0511

• [2010年03月23日]
    掲載
  [2010年04月02日]
    影響を受けるシステム： レッドハット (RHSA-2010:0168) の情報を追加
    影響を受けるシステム： ミラクル・リナックス (httpd-2.2.3-31.4.0.1.AXS3) の情報を追加
    ベンダ情報：レッドハット (RHSA-2010:0168) を追加
    ベンダ情報：IBM (4026207) を追加
    ベンダ情報：ミラクル・リナックス (httpd-2.2.3-31.4.0.1.AXS3) を追加
  [2010年06月16日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02531) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02531) を追加
  [2010年07月12日]
    影響を受けるシステム：Apache Software Foundation (CHANGES_2.3.6) の情報を追加
    ベンダ情報：Apache Software Foundation (CHANGES_2.3.6) を追加
    ベンダ情報：IBM (7014463) を追加
    ベンダ情報：IBM (7014506) を追加
  [2010年10月28日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_the_apache) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_the_apache) を追加
  [2010年11月26日]
    影響を受けるシステム：アップル (HT4435) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW313) の情報を追加
    ベンダ情報：アップル (HT4435) を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加
  [2013年04月19日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - April 2013) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2013) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2013 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2013 Critical Patch Update Released) を追加