INDEX
Apacheセキュリティ情報
1  NI-Lab.  2002/06/18(Tue) 21:53
Apacheのセキュリティ情報について。
2  NI-Lab.  2002/06/18(Tue) 22:11
http://www.zdnet.co.jp/news/0206/18/nebt_20.html
Apacheにセキュリティホール

>Apache Software Foundationによると、デフォルトで有効になっている機能にサービス拒否(DoS)攻撃に対する脆弱性が存在することが分かった。影響を受けるのは1.3.24までのApache 1.3全バージョンと、2.0.36までのApache 2の全バージョン。

>Apache Software Foundationが6月17日に発行したアドバイザリーには、「ISS(という会社)から17日、問題点を公表したという報告を受け、アドバイザリーの早期リリースを迫られた」とある。また「ISS発行のパッチではこの問題は訂正できない」と注意を促している。
3  NI-Lab.  2002/06/18(Tue) 22:12
http://httpd.apache.org/info/security_bulletin_20020617.txt
Apache 1.3 all versions including 1.3.24, Apache 2 all versions up to 2.0.36
4  NI-Lab.  2002/06/19(Wed) 09:25
http://www.cert.org/advisories/CA-2002-17.html
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
5  NI-Lab.  2002/06/19(Wed) 12:45
"CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability" 対応。
http://httpd.apache.org/#2.0.39
Apache 2.0.39 Released

http://httpd.apache.org/#1.3.26
Apache 1.3.26 Released

http://www.apache.org/dist/httpd/CHANGES_2.0
ChangeLog for 2.0.39

http://www.apache.org/dist/httpd/CHANGES_1.3
ChangeLog for 1.3.26

6  NI-Lab.  2002/06/23(Sun) 00:34
http://japan.internet.com/webtech/20020622/12.html
Apache の脆弱性を攻撃するツールが登場

>オープンソースの Web サーバー『Apache』のチャンク処理脆弱性に対する攻撃ツールがインターネットに出回っており、Apache のユーザーが深刻な危機に晒されているという警告が出た。

>Apache を開発する非営利団体 Apache Software Foundationの最新の報告によると、この脆弱性は64ビットと32ビット双方のプラットフォームに同様に影響し、サービス拒否 (DoS) 攻撃やサーバーの遠隔操作をまねく可能性があるという。

>「以前、32ビットプラットフォームは遠隔操作による攻撃を受けることはないと報告したが、その後 (一定の条件が整えば攻撃が成立することが) 明らかになった」と同団体は警告しており、完全に修正するために Apache バージョン1.3.26または2.0.39にアップグレードするよう勧告している。


7  NI-Lab.  2002/06/23(Sun) 12:34
今回のセキュリティホール対策版で必要そうなファイル。

http://www.apache.org/dist/httpd/apache_1.3.26.tar.gz
http://www.modssl.org/source/mod_ssl-2.8.9-1.3.26.tar.gz
http://www.openssl.org/source/openssl-0.9.6d.tar.gz

http://www.modssl.org/example/
mod_ssl: Example, Installation

あいかわらず親切な最新apache&mod_ssl構築の例。

ついでに、WebDAV実現には、
http://www.webdav.org/mod_dav/mod_dav-1.0.3-1.3.6.tar.gz
このあたりが必要な感じ。
8  NI-Lab.  2002/06/24(Mon) 00:21
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に関する情報源。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/
セキュリティホール memo

http://www.cert.org/advisories/CA-2002-17.html
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability

http://www.lac.co.jp/security/intelligence/CERT/CA-2002_17.html
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability(日本語訳)

http://www.jpcert.or.jp/at/2002/at020003.txt
JPCERT/CC Alert 2002-06-20 Apache Web サーバプログラムの脆弱性に関する注意喚起

http://www.kb.cert.org/vuls/id/944335
Vulnerability Note VU#944335
Apache web servers fail to handle chunks with a negative size

http://www.apache-ssl.org/advisory-20020620.txt
Apache Chunked encoding vulnerability CAN-2002-0392

http://rhn.redhat.com/errata/RHSA-2002-103.html
Updated Apache packages fix chunked encoding issue

http://www.vinelinux.org/errata/2x/20020621.html
Vine Linux errata [Apache にセキュリティホール](Vine2.1)

http://www.vinelinux.org/errata/25x/20020619.html
Vine Linux errata [Apache にセキュリティホール](Vine2.5)

http://www.kondara.org/errata/?v=21;c=S;mode=v
Kondara MNU/Linux 2.1 - セキュリティアドバイザリー
>Kondara MNU/Linux 2.1 に含まれる apache には、リモートから悪意あるコードを実行されるなどのセキュリティホールがあります。

http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00041.html
[SECURITY] [DSA-131-1] Apache chunk handling vulnerability

http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00042.html
[SECURITY] [DSA-131-2] Apache chunk handling vulnerability, update

http://www.isskk.co.jp/support/techinfo/general/Vul_ApacheServer_xforce.html
Apache Server におけるリモートからのセキュリティ侵害の脆弱性

http://www.isskk.co.jp/support/techinfo/general/Apache_HTTPserver_Exploit_xforce.html
Apache HTTP Server の悪用の流通

9  NI-Lab.  2002/06/24(Mon) 00:58
http://archives.neohapsis.com/archives/bugtraq/2002-06/0238.html
Remote Apache 1.3.x Exploit

http://www.debian.org/security/2002/dsa-132
DSA-132-1 apache-ssl -- remote DoS / exploit

10  NI-Lab.  2002/06/25(Tue) 06:51
http://www.modssl.org/news/changelog.html
mod_ssl: News, ChangeLog

>Changes with mod_ssl 2.8.10 (19-Jun-2002 to 24-Jun-2002)
>
> *) Fixed off-by-one buffer overflow bug in the compatibility
> functionality (mapping of old directives to new ones).
>
> *) Fixed memory leak in processing of CA certificates.
>
> *) In case there is actually a certificate chain in the session cache,
> we now use the value of SSL_get_peer_certificate(ssl) to verify as
> it will have been removed from the chain before it was put in the
> cache.
>
> *) Seed the PRNG with a maximum of 1K from the internal scoreboard.

11  NI-Lab.  2002/06/29(Sat) 23:47
http://www.zdnet.co.jp/news/0206/29/nebt_07.html
Apacheサーバを襲う新型ワーム

12  NI-Lab.  2002/07/08(Mon) 00:25
http://www.securiteam.com/unixfocus/5PP060A7PS.html
Apache mod_ssl Off-by-One Vulnerability
13  NI-Lab.  2003/11/03(Mon) 23:03
http://mm.apache.or.jp/pipermail/announce/2003/000030.html
[Announce 31] Released 1.3.29/2.0.48

>Apache 本家からのアナウンスがありませんが、
> apache_1.3.29
> httpd-2.0.48
>が 10/24 にリリースされています。