mod_ssl 2.8.9以下に任意コード実行の脆弱性 8
ストーリー by yourCat
穴発見ラッシュ 部門より
穴発見ラッシュ 部門より
mabu 曰く、 "Apache mod_sslの2.8.9以下のバージョンに、任意コード実行の脆弱性が発見されました。Apacheの拡張APIの使い方がまずかった模様。対策は、最新バージョンの2.8.10にすれば良いようです。"
mabu 曰く、 "Apache mod_sslの2.8.9以下のバージョンに、任意コード実行の脆弱性が発見されました。Apacheの拡張APIの使い方がまずかった模様。対策は、最新バージョンの2.8.10にすれば良いようです。"
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
なぜこのタイミング? (スコア:1)
単に誰もたれこまなかっただけ?
Re:なぜこのタイミング? (スコア:0)
無知ですみませんが (スコア:1)
Apache_sslも同じ脆弱性があったりしないものでしょうか?
Apache_sslのサイト [apache-ssl.org] (日本語版) [infoscience.co.jp]ではmod_sslとは違うと書いてありますが、
sslと言うことで一緒くたにして考えてしまうのは間違いでしょうか?
どなたか識者の方教えてください。
Re:無知ですみませんが (スコア:2, 参考になる)
>mod_sslと別物だということは解っていますが、
>Apache_sslも同じ脆弱性があったりしないものでしょうか?
>Apache_sslのサイト [apache-ssl.org] (日本語版) [infoscience.co.jp]ではmod_sslとは違うと書いてありますが、
>sslと言うことで一緒くたにして考えてしまうのは間違いでしょうか?
>どなたか識者の方教えてください。
識者ではなくて恐縮ですが。
SSLはプロトコルなので、今回の件とは関係ありません。
SSLに脆弱性が発見されたならば大事ですが、
今回はmod_sslのごく一部の文字列処理でバッファオーバーフローが
発見されたに過ぎません。mod_ssl独自コードのプログラムミスです。
当然、apache_sslにも影響はありません。
って、こんな説明でわかってもらえるでしょうか?
Re:無知ですみませんが (スコア:1)
ありがとうございました。
VineのErrata (スコア:1)
●2002,07,02● mod_ssl にセキュリティホール [vinelinux.org]
バージョン番号(2.8.9)が上がっていないところを見ると、パッチで済ませたようですね…。
とりあえず逃げるには (スコア:0)
Re:とりあえず逃げるには (スコア:2, 参考になる)
AllowOverride Noneすれば問題のコードにたどり着くことはないようです。
でも、
とあるので、httpd.confか.htaccessからのみ発現する不具合のようです。したがって、
内部からやられる可能性がなく、httpd.conf/.htaccessともに正常であれば、
そのままでも大丈夫(全くぞっとしませんが)なのかもしれません。
ちらっとソースも見ましたが、1行が1024バイト未満のhttpd.conf or .htaccessならば
問題ないように見えます。
#このあたり、かなり推測入ってますので間違ってたらすみません。
#問題の*olineがどこからやってくるのか(たぶんEAPI?)
#そこまでは追えなかったので、詳しい方フォロー願います。
個人的にはmod_sslは縁のない代物だったのであまり気にしていませんでしたが、
いや、勉強になりました。