JVNDB-2011-002785
|
Apache HTTP Server における整数オーバーフローの脆弱性
|
Apache HTTP Server の server/util.c にある ap_pregsub 関数には、mod_setenvif モジュールが有効な場合、整数オーバーフローの脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 4.4 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
Apache Software Foundation
- Apache HTTP Server 2.0.x から 2.0.64
- Apache HTTP Server 2.2.x から 2.2.21
アップル
- Apple Mac OS X v10.6.8
- Apple Mac OS X v10.7 から v10.7.4
- Apple Mac OS X Server v10.6.8
- Apple Mac OS X Server v10.7 から v10.7.4
オラクル
- Oracle HTTP Server 10.1.3.5
- Oracle HTTP Server 11.1.1.5
- Oracle HTTP Server 11.1.1.6
- Oracle HTTP Server 11.1.2.0
- Oracle HTTP Server 10.1.3.5.0
- Oracle HTTP Server 11.1.1.7.0
- Oracle HTTP Server 12.1.2.0
ヒューレット・パッカード
- HP Secure Web Server for OpenVMS 2.2 およびそれ以前
- HP System Management Homepage 7.1.1 未満
富士通
- Interstage Application Server
- Interstage Studio
- Interstage Web Server
- Interstage Web Server Express
|
影響を受ける以下の製品の詳細なバージョンについては、ベンダの提供する情報をご確認ください。
富士通製品:Interstage HTTP Server (CVE-2011-3607/ CVE-2012-3499/ CVE-2012-2687/ CVE-2013-1862)
|
ローカルユーザにより、ヒープベースのバッファオーバーフローを導く、巧妙に細工された HTTP リクエストヘッダーとともに、巧妙に細工された SetEnvIf ディレクティブを伴う .htaccess ファイルを介して、権限を取得される可能性があります。
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
Apache Software Foundation
Canonical
Mandriva, Inc.
アップル
オラクル
ヒューレット・パッカード
レッドハット
富士通
|
- 数値処理の問題(CWE-189) [NVD評価]
|
- CVE-2011-3607
|
- JVN : JVNVU#381963
- National Vulnerability Database (NVD) : CVE-2011-3607
|
- [2011年11月11日]
掲載
[2012年02月27日]
ベンダ情報:レッドハット (RHSA-2012:0128) を追加
[2012年04月20日]
ベンダ情報:オラクル (CVE-2011-3607 Buffer Overflow vulnerability in Apache HTTP Server) を追加
[2012年10月05日]
ベンダ情報:アップル (HT5501) を追加
[2012年11月28日]
ベンダ情報:ヒューレット・パッカード (HPSBOV02822 SSRT100966) を追加
影響を受けるシステム:ヒューレット・パッカード (HPSBOV02822 SSRT100966) を追加
[2013年07月25日]
ベンダ情報:オラクル (Multiple vulnerabilities in Apache HTTP Server) を追加
[2013年11月28日]
影響を受けるシステム:内容を更新
対策:内容を更新
ベンダ情報:Mandriva, Inc. (MDVSA-2012:003) を追加
ベンダ情報:Mandriva, Inc. (MDVSA-2013:150) を追加
ベンダ情報:Ubuntu (Bug #811422) を追加
ベンダ情報:アップル (APPLE-SA-2012-09-19-2) を追加
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2012) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU02786 SSRT100877) を追加
ベンダ情報:レッドハット (Bug 750935) を追加
ベンダ情報:富士通 (Interstage HTTP Server (CVE-2011-3607/ CVE-2012-3499/ CVE-2012-2687/ CVE-2013-1862)) を追加
[2015年01月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
|