アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
Apacheのadvisoryの日本語訳 (スコア:5, 参考になる)
http://httpd.apache.org/info/security_bulletin_20020617.txt より翻訳
Date: 2002年6月17日
Product: Apache Web Server
Versions: Apache 1.3 (1.3.24を含む全てのバージョン), Apache 2
(2.0.36までの全てのバージョン), Apache 1.2 (1.2.2以前の全バージョン)
はじめに:
Mark Litchfield氏が、Oracleの脆弱性をテストしている際に、Windows上の
ApacheにおいてDoS攻撃を発見した。Apache Software Foundationの調査によ
り、これはもっと広範なもので、あるプラットフォームではDoS脆弱性をもた
らすものの、別のプラットフォームではリモートexploit脆弱性の可能性をひ
きおこすものであることが示された。
我々はまた、本日、ISSから、彼らが同じ件を公表したことを知らされ、この
勧告の早期リリースを迫られることとなった。
Common Vulnerabilities and Exposuresプロジェクト(cve.mitre.org)は、こ
の件にCAN-2002-0392という名前を割り当てた。
解説:
Apacheウェブサーバの1.3.24を含むそれ以前と、2.0.36を含むそれ以前のバー
ジョン2.0、また、2.0.36-devのバージョンは、chunked encodingによりエン
コードされた不正なリクエストを取り扱うルーチンにバグを持っている。この
バグは、入念に組み立てられた不正なリクエストをリモートから送られること
により誘発され得る。この機能はデフォルトで作動可能状態となっている。
たいていのケースでは、この不正なリクエストの結末は、そのリクエストを取
り扱っている子プロセスの終了となる。少なくとも、このことは、親プロセス
が結局は終了させられた子プロセスを取り替えねばならなくなり、無視できな
い量のリソースを使用する新たな子プロセスを起動することによって、リモー
トの攻撃者がDoS攻撃を仕掛けることを手伝い得る。
WindowsおよびNetwareプラットフォームでは、Apacheは、リクエストをサービ
スするために、マルチスレッド化されたひとつの子プロセスを走らせる。崩壊
と続く失われた子プロセスを取り替えるセットアップの時間は、著しいサービ
スの中断をもたらす。WindowsとNetware版は、子プロセスをforkするのでなし
に、新たなプロセスを生成し、設定を再読込みすることから、この遅延は、他
のプラットフォームに比べてより著しいものとなる。
Apache 2.0においては、このエラー条件は正しく検出されるため、これは、攻
撃者にサーバ上で任意のコードを実行させることを許すことにはならない。し
かし、プラットフォームは、子プロセスごとに複数のリクエストのマルチスレッ
ドモデルを使っていることもあり得る(デフォルト設定は、単一スレッドで複
数プロセス、かつ、プロセスごとにリクエストとなっているけれども、たいて
いのマルチスレッドモデルは、複数の子プロセスを生成し続ける)。どのマル
チスレッドモデルを使っても、影響された子プロセスで処理されているすべて
の同時発生のリクエストは、失われることになる。
Apache 1.3においては、この件はスタックオーバーフローを引き起こす。32ビッ
トUnixプラットフォームにおけるオーバーフローの特性により、これは、
segmentation violationを引き起こし、子プロセスが終了することになる。し
かし、64ビットプラットフォームにおいては、そのオーバーフローは制御され
得るもので、そのため、スタックにリターンアドレスを格納するプラットフォー
ムにとっては、それはさらにexploitableとなるだろう。これは、そのサーバ
上で、Apacheの子プロセスを走らせるユーザの権限で、任意のコードを走らせ
ることを許し得る。
我々は、この方法によりWindows上のApache 1.3がexploitableであることを承
知している。
ISSによって提供されているパッチがこの脆弱性を修正しないことに注意して
ほしい。
Apache Software Foundationは、この件を修正する新たなリリースに向けて現
在作業中である。アップデートバージョンについては、こちらを見てほしい。
http://httpd.apache.org/