HP、HP-UXとApacheの脆弱性に対応

HPは、HP-UXに関するPHPの脆弱性のほか、Apacheの脆弱性が自社製品に与える影響も確認した。影響を受けるユーザーに向けては、アップグレードするよう呼びかけている。（IDG）

[IDG Japan]

　Hewlett-Packard（HP）は、同社版UNIXのHP-UXに数件の深刻なセキュリティ脆弱性が含まれていると確認した。これらの脆弱性は、攻撃者がサーバのコントロールを無効にしたり、サーバを乗っ取ることを可能にする恐れがある。

　HPは、hpuxwsAPACHE（HP-UX Apache-based Web Server）を走らせるHP-UXのバージョンB.11.00、B.11.11、B.11.22、B.11.23のユーザーに向けて、この問題を解決するためにアップグレードするよう呼びかけている。影響を受けるシステムの特定やアップグレードの手順については、HPのアドバイザリーに詳細が記されている。

　これとは別に同社は、Apacheに含まれる多数の脆弱性が、HP VirtualVaultとHP Webproxyに影響を与えることも認めている。VirtualVaultのA.04.50〜A.04.70かWebproxyのA.02.00〜A.02.10を、HP-UXのB.11.04と組み合わせて利用している場合に影響を受ける。ユーザーはB.11.04より新しいバージョンにアップグレードすることで対応可能だ。

　前者のHP-UXに含まれる一連の脆弱性はすべて、7月中旬までにHP-UXのさまざまなコンポーネントで確認され、パッチが発行されている。バグの1つは、Apacheサーバで最も一般的なスクリプトモジュールPHPに含まれている。SecuritySpaceの調査によると、PHPはApacheの半数以上で有効な設定になっている。このバグは、PHPのmemory_limitリクエスト中止における各種のエラーに関するもので、悪用されると、脆弱なPHPの実装が有効になっているサーバ上で、攻撃者が任意のコードを実行できるようになる恐れがあると研究者は説明している。E-mattersの研究者ステファン・エッサー氏によると、この脆弱性はどんなプラットフォームでも悪用できるものだ。同氏は、関連のアドバイザリーが出されたことを受けてmemory_limitを調べ直している過程で、この問題を発見したという（関連記事参照）。

　また、mod_sslにも問題が存在する。mod_sslは、OpenSSLを使うApacheサーバで広く使われており、電子商取引用サーバにとって重要なSSLとTransport Layer Security（TLS）という2つのプロトコルをサポートする。mod_sslプロジェクトは、パッチの提供と併せて7月16日にバグを発表している。同団体によると影響を受けるのはApache 1.3.xと、mod_proxyという別のモジュールとmod_sslの両方を実行するサーバのみだという。特定のサーバ設定では、Apacheの脆弱性と同じ権限で、攻撃者によってリモートから任意のコードを実行される恐れがある。

　HP VirtualVaultとHP Webproxyに関して、HPはこれらソフトに影響を与えるApacheの脆弱性5件をリストアップしている。これらの脆弱性を悪用されると、サービス妨害（DoS）攻撃や、セキュリティ制限の回避、システムの乗っ取りにつながる恐れがあるとセキュリティ研究者は説明している。これらのバグはすべて、少なくとも数週間前のもので、そのうちの1つは、先に記したmod_sslに関するものだ。

　自社のWebサイトでアドバイザリーをまとめているSecuniaは、前者の（HP-UXの）脆弱性に関するアドバイザリーと、HP VirtualVaultおよびHP Webproxyのバグに関するアドバイザリーをそれぞれ掲載している。