JVNDB-2010-002300

Apache Portable Utility ライブラリの apr_brigade_split_line 関数におけるサービス運用妨害 (DoS) の脆弱性

Apache HTTP Server およびその他のソフトウェアの mod_reqtimeout モジュールにて使用される Apache Portable Utility ライブラリ (APR-util) の buckets/apr_brigade.c 内にある apr_brigade_split_line 関数には、APR bucket の 破損に関する処理に不備があるため、メモリリークが発生し、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.0.64 未満
• Apache HTTP Server 2.2.17 未満
• APR-util 1.3.10 未満

IBM

• IBM HTTP Server 6.1.0.35 未満
• IBM HTTP Server 7.0.0.15 未満
• IBM WebSphere Application Server 6.1.0.35 未満

オラクル

• OpenSolaris
• Oracle Solaris 10 

ターボリナックス

• Turbolinux Appliance Server 2.0  (延長メンテナンス)
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux FUJI (延長メンテナンス)
• Turbolinux Server 10  (延長メンテナンス)
• Turbolinux Server 10 (x64) (延長メンテナンス)
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ヒューレット・パッカード

• HP-UX Apache-based Web Server v.2.0.64.01
• HP-UX Apache-based Web Server v.2.2.15.05
• HP-UX Web Server Suite v.2.33
• HP-UX Web Server Suite v.3.15
• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

日立

• Cosminexus HTTP Server
• Hitachi Web Server
• uCosminexus Application Server
• uCosminexus Application Server (64)
• uCosminexus Application Server -R
• uCosminexus Application Server Express
• uCosminexus Application Server Standard-R
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Developer
• uCosminexus Developer 01
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Light
• uCosminexus Developer Standard
• uCosminexus Primary Server Base
• uCosminexus Primary Server Base(64)
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform (64)
• uCosminexus Service Platform - Messaging

富士通

• Interstage Application Server
• Interstage Studio
• Interstage Web Server

日立製品の詳細なバージョンについては、ベンダ情報をご確認ください。

第三者により、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Released : Apache HTTP Server 2.0.64 Released
• Apache Released : Apache HTTP Server 2.2.17 Released
• Apache Software Foundation : Fixed in Apache httpd 2.0.64
• Apache Software Foundation : Fixed in Apache httpd 2.2.16
• Apache-SVN : 1003492
• Apache-SVN : 1003493
• Apache-SVN : 1003494
• Apache-SVN : 1003495
• Apache-SVN : 1003626
• Changes with Apache : CHANGES-APR-UTIL-1.3
• Changes with Apache : CHANGES_2.2.17

IBM

• IBM Support Document : 7007951
• IBM Support Document : 7008517
• IBM Support Document : 7014506

オラクル

• SECURITY BLOG : cve_2010_1623_memory_leak

ターボリナックス

• Turbolinux Security Advisory : TLSA-2011-21

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW233
• Hewlett Packard : HPUXWSATW315
• HP Security Bulletin : HPSBUX02645

ミラクル・リナックス

• Asianux Technical Support Network : apr-util-1.2.7-11.AXS3.2
• MIRACLE LINUX アップデート情報 : 2160
• MIRACLE LINUX アップデート情報 : 2216

レッドハット

• Red Hat Security Advisory : RHSA-2010:0950

日立

• Hitachi Software Vulnerability Information : HS12-031
• ソフトウェア製品セキュリティ情報 : HS12-031

富士通

• 富士通 セキュリティ情報 : interstage_as_201103

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2010-1623

1. National Vulnerability Database (NVD) : CVE-2010-1623
2. Secunia Advisory : SA41701
3. Secunia Advisory : SA41811
4. Secunia Advisory : SA42403
5. Secunia Advisory : SA42537
6. Secunia Advisory : SA43211
7. SecurityFocus : 43673
8. ISS X-Force Database : 62235
9. VUPEN Security : VUPEN/ADV-2010-2556
10. VUPEN Security : VUPEN/ADV-2010-2557
11. VUPEN Security : VUPEN/ADV-2010-2749

• [2010年11月15日]
    掲載
  [2010年12月15日]
    影響を受けるシステム：オラクル (cve_2010_1623_memory_leak) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (apr-util-1.2.7-11.AXS3.2) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (2160) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0950) の情報を追加
    ベンダ情報：オラクル (cve_2010_1623_memory_leak) を追加
    ベンダ情報：ミラクル・リナックス (apr-util-1.2.7-11.AXS3.2) を追加
    ベンダ情報：ミラクル・リナックス (2160) を追加
    ベンダ情報：レッドハット (RHSA-2010:0950) を追加
  [2011年01月07日]
    影響を受けるシステム：IBM (7007951) の情報を追加
    影響を受けるシステム：IBM (7008517) の情報を追加
    ベンダ情報：IBM (7007951) を追加
    ベンダ情報：IBM (7008517) を追加
  [2011年03月22日]
    影響を受けるシステム：IBM (7014506) の情報を追加
    ベンダ情報：IBM (7014506) を追加
  [2011年04月06日]
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW233) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW315) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02645) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW233) を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW315) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02645) を追加
  [2011年06月07日]
    影響を受けるシステム：ミラクル・リナックス (2216) の情報を追加
    ベンダ情報：ミラクル・リナックス (2216) を追加
  [2011年07月19日]
    影響を受けるシステム：ターボリナックス (TLSA-2011-21) の情報を追加
    ベンダ情報：ターボリナックス (TLSA-2011-21) を追加
  [2011年11月24日]
    影響を受けるシステム：富士通 (interstage_as_201103) の情報を追加
    ベンダ情報：富士通 (interstage_as_201103) を追加
  [2012年12月28日]
    影響を受けるシステム：日立 (HS12-031) の情報を追加
    ベンダ情報：日立 (HS12-031) を追加