JVNDB-2004-000453

Apache HTTP Server の mod_include モジュールにおけるバッファオーバーフローの脆弱性

Apache HTTP Server に含まれている mod_include モジュールには、handle_echo() 関数等から呼び出される get_tag() 関数内でバッファの終端チェックの不備のためバッファオーバーフローが発生する脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 1.3.32 およびそれ以前

IBM

• IBM HTTP Server 1.3.26.2 およびそれ以前
• IBM HTTP Server 1.3.28.1 およびそれ以前

サイバートラスト株式会社

• Asianux Server 1.1 
• Asianux Server 2.0 
• Asianux Server 2.1 

サン・マイクロシステムズ

• Sun Solaris 8 (sparc) 
• Sun Solaris 8 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 
• Sun Cobalt RaQ550

ターボリナックス

• Turbolinux Server 7  
• Turbolinux Server 8  

ヒューレット・パッカード

• HP-UX 11.00 
• HP-UX 11.04 
• HP-UX 11.11 
• HP-UX 11.20 
• HP-UX 11.22 

レッドハット

• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 

Apache HTTP Server の子プロセスの権限で、任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Software Foundation : 1.3 CHANGES
• Apache Week : 1.3.33-dev

IBM

• IBM APAR : PK05084

サイバートラスト株式会社

• MIRACLE LINUX アップデート情報 : apache

サン・マイクロシステムズ

• Sun Alert Notification : 102197
• Sun Alert Notification 日本語版 : 102197
• Sun Cobalt RaQ Patches : 550 Apache and Openssl Security Update 0.0.1

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2004-31
• 製品セキュリティ情報 : TLSA-2004-31

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX01113
• HP Security Bulletin : HPSBUX01098
• HP セキュリティ報告 : HPSBUX01113
• HP セキュリティ報告 : HPSBUX01098

レッドハット

• Red Hat Security Advisory : RHSA-2004:600
• レッドハット セキュリティーアップデート : RHSA-2004:600

1. バッファサイズの計算の誤り(CWE-131) [NVD評価]

1. CVE-2004-0940

1. National Vulnerability Database (NVD) : CVE-2004-0940
2. Secunia Advisory : SA15365
3. Secunia Advisory : SA12898
4. SecurityFocus : 11471
5. SecurityTracker : 1011783

• [2007年04月01日]
    掲載
• [2024年02月27日]
    CVSS による深刻度：内容を更新
    CWE による脆弱性タイプ一覧：内容を更新