パスワードを忘れた? アカウント作成
Close
3309 story

mod_ssl 2.8.9以下に任意コード実行の脆弱性 8

ストーリー by yourCat
穴発見ラッシュ 部門より

mabu 曰く、 "Apache mod_sslの2.8.9以下のバージョンに、任意コード実行の脆弱性が発見されました。Apacheの拡張APIの使い方がまずかった模様。対策は、最新バージョンの2.8.10にすれば良いようです。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

mod_ssl 2.8.9以下に任意コード実行の脆弱性 More

  • なぜこのタイミング? (スコア:1)

    by don_z80 (8200) on 2002年07月01日 20時59分 (#116878)
    この問題については6/24に公表されていたのに、なぜ今になって掲載なのかな?
    単に誰もたれこまなかっただけ?
    • でかい飛行機事故が起きると、そのあと二週間くらいやけに飛行機事故の報道が増えるよね。それと一緒。

  • 無知ですみませんが (スコア:1)

    by Wyn (9059) on 2002年07月01日 23時22分 (#116938)
    mod_sslと別物だということは解っていますが、
    Apache_sslも同じ脆弱性があったりしないものでしょうか?
    Apache_sslのサイト [apache-ssl.org] (日本語版) [infoscience.co.jp]ではmod_sslとは違うと書いてありますが、
    sslと言うことで一緒くたにして考えてしまうのは間違いでしょうか?

    どなたか識者の方教えてください。

    • Re:無知ですみませんが (スコア:2, 参考になる)

      by Anonymous Coward on 2002年07月01日 23時58分 (#116956)
      ログインするのが面倒なのでACで。

      >mod_sslと別物だということは解っていますが、
      >Apache_sslも同じ脆弱性があったりしないものでしょうか?
      >Apache_sslのサイト [apache-ssl.org] (日本語版) [infoscience.co.jp]ではmod_sslとは違うと書いてありますが、
      >sslと言うことで一緒くたにして考えてしまうのは間違いでしょうか?
      >どなたか識者の方教えてください。

      識者ではなくて恐縮ですが。
      SSLはプロトコルなので、今回の件とは関係ありません。
      SSLに脆弱性が発見されたならば大事ですが、
      今回はmod_sslのごく一部の文字列処理でバッファオーバーフローが
      発見されたに過ぎません。mod_ssl独自コードのプログラムミスです。
      当然、apache_sslにも影響はありません。
      って、こんな説明でわかってもらえるでしょうか?
      シェア
      親コメント

  • VineのErrata (スコア:1)

    by k3c (4386) on 2002年07月02日 17時47分 (#117532) ホームページ 日記
    が出ています。

    ●2002,07,02● mod_ssl にセキュリティホール [vinelinux.org]

    バージョン番号(2.8.9)が上がっていないところを見ると、パッチで済ませたようですね…。

  • とりあえず逃げるには (スコア:0)

    by Anonymous Coward on 2002年07月01日 19時29分 (#116839)
    AllowOverride None"すれば良いってことですか?

    • Re:とりあえず逃げるには (スコア:2, 参考になる)

      by u400 (9958) on 2002年07月01日 21時35分 (#116893) ホームページ
      元記事の任意コード実行の脆弱性 [securiteam.com]を見る限りではそうなっていますね。
      AllowOverride Noneすれば問題のコードにたどり着くことはないようです。
      Workaround:
      Disallow per-directory configuration files by only having "AllowOverride None" directives in your httpd.conf file, and restart the web server.

      でも、
      Impact:
      Apart from global configuration files, Apache allows per-directory configuration files. Therefore, the bug can be triggered by any regular user through specially crafted ".htaccess" files.

      とあるので、httpd.confか.htaccessからのみ発現する不具合のようです。したがって、
      内部からやられる可能性がなく、httpd.conf/.htaccessともに正常であれば、
      そのままでも大丈夫(全くぞっとしませんが)なのかもしれません。
      ちらっとソースも見ましたが、1行が1024バイト未満のhttpd.conf or .htaccessならば
      問題ないように見えます。
      #このあたり、かなり推測入ってますので間違ってたらすみません。
      #問題の*olineがどこからやってくるのか(たぶんEAPI?)
      #そこまでは追えなかったので、詳しい方フォロー願います。

      個人的にはmod_sslは縁のない代物だったのであまり気にしていませんでしたが、
      いや、勉強になりました。
      シェア
      親コメント
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」