JVNDB-2015-003799

Apache HTTP Server の server/request.c 内の ap_some_auth_required 関数におけるアクセス制限を回避される脆弱性

Apache HTTP Server の server/request.c 内の ap_some_auth_required 関数は、Require ディレクティブが認証 (authentication) の設定ではなく権限 (authorization) の設定に関連付けられる可能性を考慮しないため、アクセス制限を回避される脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.4.14 未満の 2.4.x

アップル

• Xcode 7.0 未満 (OS X Yosemite v10.10.4 以降)
• Apple Mac OS X 10.10 から 10.10.4
• Apple Mac OS X 10.9.5
• macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)

第三者により、2.2 API の動作に依存するモジュールの存在を利用されることで、アクセス制限を回避される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.4 vulnerabilities : Fixed in Apache httpd 2.4.16
• Changes with Apache : Changes with Apache 2.4.14

アップル

• Apple Mailing Lists : APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006
• Apple Mailing Lists : APPLE-SA-2015-09-16-2 Xcode 7.0
• Apple Mailing Lists : APPLE-SA-2015-09-16-4 OS X Server 5.0.3
• Apple Security Updates : HT205031
• Apple Security Updates : HT205217
• Apple Security Updates : HT205219
• Apple セキュリティアップデート : HT205031
• Apple セキュリティアップデート : HT205217
• Apple セキュリティアップデート : HT205219

オラクル

• Oracle Technology Network : Oracle Solaris Third Party Bulletin - October 2015

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2015-3185

1. JVN : JVNVU#99970459
2. National Vulnerability Database (NVD) : CVE-2015-3185

• [2015年07月22日]
    掲載
  [2015年08月31日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
    ベンダ情報：アップル (HT205031) を追加
  [2015年10月05日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-09-16-2 Xcode 7.0) を追加
    ベンダ情報：アップル (APPLE-SA-2015-09-16-4 OS X Server 5.0.3) を追加
    ベンダ情報：アップル (HT205217) を追加
    ベンダ情報：アップル (HT205219) を追加
    参考情報：JVN (JVNVU#99970459) を追加
  [2015年11月06日]
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加