JVNDB-2012-001075

Apache HTTP Server におけるサービス運用妨害 (シャットダウン中のデーモンクラッシュ) の脆弱性

Apache HTTP Server の scoreboard.c には、サービス運用妨害 (シャットダウン中のデーモンクラッシュ) 状態となる、またはその他の詳細不明な影響を受ける脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.2.21 およびそれ以前

アップル

• Apple Mac OS X v10.6.8
• Apple Mac OS X v10.7 から v10.7.4
• Apple Mac OS X Server v10.6.8
• Apple Mac OS X Server v10.7 から v10.7.4

ヒューレット・パッカード

• HP Secure Web Server for OpenVMS V2.2 およびそれ以前のバージョン
• HP System Management Homepage v7.1.1 未満 (Linux、Windows および VMware ESX)

日立

• Cosminexus HTTP Server
• Hitachi Web Server
• uCosminexus Application Server
• uCosminexus Application Server (64)
• uCosminexus Application Server -R
• uCosminexus Application Server Express
• uCosminexus Application Server Standard-R
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Developer
• uCosminexus Developer 01
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Light
• uCosminexus Developer Standard
• uCosminexus Primary Server Base
• uCosminexus Primary Server Base(64)
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform (64)
• uCosminexus Service Platform - Messaging

影響を受けるバージョンについては、日立が提供する HS12-032 をご確認ください。

ローカルユーザにより、scoreboard 共有メモリセグメントにおいて、free 関数への無効なコールを導く特定のタイプフィールドが変更されることで、サービス運用妨害 (シャットダウン中のデーモンクラッシュ) 状態にされる、またはその他の詳細不明な影響を受ける可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache-SVN : 1230065

openSUSE project

• opensuse-security-announce : openSUSE-SU-2012:0314

アップル

• Apple Mailing Lists : APPLE-SA-2012-09-19-2
• Apple Security Updates : HT5501
• Apple セキュリティアップデート : HT5501

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2012
• SECURITY BLOG : CVE-2012-0031 Resource Management Errors vulnerability in Apache HTTP Server 

ヒューレット・パッカード

• HP Support document : HPSBMU02786 SSRT100877
• HP Support document : HPSBOV02822 SSRT100966

レッドハット

• Red Hat Bugzilla : Bug 773744
• Red Hat Security Advisory : RHSA-2012:0128

日立

• Hitachi Software Vulnerability Information : HS12-032
• ソフトウェア製品セキュリティ情報 : HS12-032

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2012-0031

1. JVN : JVNVU#381963
2. National Vulnerability Database (NVD) : CVE-2012-0031

• [2012年01月19日]
    掲載
  [2012年02月27日]
    ベンダ情報：レッドハット (RHSA-2012:0128) を追加
  [2012年04月20日]
    ベンダ情報：オラクル (CVE-2012-0031 Resource Management Errors vulnerability in Apache HTTP Server) を追加
  [2012年07月25日]
    ベンダ情報：ヒューレット・パッカード (HPSBMU02786 SSRT100877) を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2012) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2012:0314) を追加
  [2012年10月15日]
    ベンダ情報：アップル (HT5501) を追加
  [2012年11月16日]
    ベンダ情報：ヒューレット・パッカード (HPSBOV02822 SSRT100966) を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBOV02822 SSRT100966) を追加
  [2012年12月28日]
    影響を受けるシステム：日立 (HS12-032) の情報を追加
    ベンダ情報：日立 (HS12-032) を追加
  [2014年02月03日]
    影響を受けるシステム：アップル (HT5501) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBMU02786 SSRT100877) の情報を追加
    ベンダ情報：アップル (APPLE-SA-2012-09-19-2) を追加
    ベンダ情報：レッドハット (Bug 773744) を追加