INDEX
Apacheセキュリティ情報
- 1 NI-Lab. 2002/06/18(Tue) 21:53
- Apacheのセキュリティ情報について。
- 2 NI-Lab. 2002/06/18(Tue) 22:11
- http://www.zdnet.co.jp/news/0206/18/nebt_20.html
Apacheにセキュリティホール
>Apache Software Foundationによると、デフォルトで有効になっている機能にサービス拒否(DoS)攻撃に対する脆弱性が存在することが分かった。影響を受けるのは1.3.24までのApache 1.3全バージョンと、2.0.36までのApache 2の全バージョン。
>Apache Software Foundationが6月17日に発行したアドバイザリーには、「ISS(という会社)から17日、問題点を公表したという報告を受け、アドバイザリーの早期リリースを迫られた」とある。また「ISS発行のパッチではこの問題は訂正できない」と注意を促している。
- 3 NI-Lab. 2002/06/18(Tue) 22:12
- http://httpd.apache.org/info/security_bulletin_20020617.txt
Apache 1.3 all versions including 1.3.24, Apache 2 all versions up to 2.0.36
- 4 NI-Lab. 2002/06/19(Wed) 09:25
- http://www.cert.org/advisories/CA-2002-17.html
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
- 5 NI-Lab. 2002/06/19(Wed) 12:45
- "CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability" 対応。
http://httpd.apache.org/#2.0.39
Apache 2.0.39 Released
http://httpd.apache.org/#1.3.26
Apache 1.3.26 Released
http://www.apache.org/dist/httpd/CHANGES_2.0
ChangeLog for 2.0.39
http://www.apache.org/dist/httpd/CHANGES_1.3
ChangeLog for 1.3.26
- 6 NI-Lab. 2002/06/23(Sun) 00:34
- http://japan.internet.com/webtech/20020622/12.html
Apache の脆弱性を攻撃するツールが登場
>オープンソースの Web サーバー『Apache』のチャンク処理脆弱性に対する攻撃ツールがインターネットに出回っており、Apache のユーザーが深刻な危機に晒されているという警告が出た。
>Apache を開発する非営利団体 Apache Software Foundationの最新の報告によると、この脆弱性は64ビットと32ビット双方のプラットフォームに同様に影響し、サービス拒否 (DoS) 攻撃やサーバーの遠隔操作をまねく可能性があるという。
>「以前、32ビットプラットフォームは遠隔操作による攻撃を受けることはないと報告したが、その後 (一定の条件が整えば攻撃が成立することが) 明らかになった」と同団体は警告しており、完全に修正するために Apache バージョン1.3.26または2.0.39にアップグレードするよう勧告している。
- 7 NI-Lab. 2002/06/23(Sun) 12:34
- 今回のセキュリティホール対策版で必要そうなファイル。
http://www.apache.org/dist/httpd/apache_1.3.26.tar.gz
http://www.modssl.org/source/mod_ssl-2.8.9-1.3.26.tar.gz
http://www.openssl.org/source/openssl-0.9.6d.tar.gz
http://www.modssl.org/example/
mod_ssl: Example, Installation
あいかわらず親切な最新apache&mod_ssl構築の例。
ついでに、WebDAV実現には、
http://www.webdav.org/mod_dav/mod_dav-1.0.3-1.3.6.tar.gz
このあたりが必要な感じ。
- 8 NI-Lab. 2002/06/24(Mon) 00:21
- CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に関する情報源。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
セキュリティホール memo
http://www.cert.org/advisories/CA-2002-17.html
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.lac.co.jp/security/intelligence/CERT/CA-2002_17.html
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability(日本語訳)
http://www.jpcert.or.jp/at/2002/at020003.txt
JPCERT/CC Alert 2002-06-20 Apache Web サーバプログラムの脆弱性に関する注意喚起
http://www.kb.cert.org/vuls/id/944335
Vulnerability Note VU#944335
Apache web servers fail to handle chunks with a negative size
http://www.apache-ssl.org/advisory-20020620.txt
Apache Chunked encoding vulnerability CAN-2002-0392
http://rhn.redhat.com/errata/RHSA-2002-103.html
Updated Apache packages fix chunked encoding issue
http://www.vinelinux.org/errata/2x/20020621.html
Vine Linux errata [Apache にセキュリティホール](Vine2.1)
http://www.vinelinux.org/errata/25x/20020619.html
Vine Linux errata [Apache にセキュリティホール](Vine2.5)
http://www.kondara.org/errata/?v=21;c=S;mode=v
Kondara MNU/Linux 2.1 - セキュリティアドバイザリー
>Kondara MNU/Linux 2.1 に含まれる apache には、リモートから悪意あるコードを実行されるなどのセキュリティホールがあります。
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00041.html
[SECURITY] [DSA-131-1] Apache chunk handling vulnerability
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00042.html
[SECURITY] [DSA-131-2] Apache chunk handling vulnerability, update
http://www.isskk.co.jp/support/techinfo/general/Vul_ApacheServer_xforce.html
Apache Server におけるリモートからのセキュリティ侵害の脆弱性
http://www.isskk.co.jp/support/techinfo/general/Apache_HTTPserver_Exploit_xforce.html
Apache HTTP Server の悪用の流通
- 9 NI-Lab. 2002/06/24(Mon) 00:58
- http://archives.neohapsis.com/archives/bugtraq/2002-06/0238.html
Remote Apache 1.3.x Exploit
http://www.debian.org/security/2002/dsa-132
DSA-132-1 apache-ssl -- remote DoS / exploit
- 10 NI-Lab. 2002/06/25(Tue) 06:51
- http://www.modssl.org/news/changelog.html
mod_ssl: News, ChangeLog
>Changes with mod_ssl 2.8.10 (19-Jun-2002 to 24-Jun-2002)
>
> *) Fixed off-by-one buffer overflow bug in the compatibility
> functionality (mapping of old directives to new ones).
>
> *) Fixed memory leak in processing of CA certificates.
>
> *) In case there is actually a certificate chain in the session cache,
> we now use the value of SSL_get_peer_certificate(ssl) to verify as
> it will have been removed from the chain before it was put in the
> cache.
>
> *) Seed the PRNG with a maximum of 1K from the internal scoreboard.
- 11 NI-Lab. 2002/06/29(Sat) 23:47
- http://www.zdnet.co.jp/news/0206/29/nebt_07.html
Apacheサーバを襲う新型ワーム
- 12 NI-Lab. 2002/07/08(Mon) 00:25
- http://www.securiteam.com/unixfocus/5PP060A7PS.html
Apache mod_ssl Off-by-One Vulnerability
- 13 NI-Lab. 2003/11/03(Mon) 23:03
- http://mm.apache.or.jp/pipermail/announce/2003/000030.html
[Announce 31] Released 1.3.29/2.0.48
>Apache 本家からのアナウンスがありませんが、
> apache_1.3.29
> httpd-2.0.48
>が 10/24 にリリースされています。