ITmedia NEWS >

Apacheに新たな脆弱性、各社がパッチリリース

» 2004年06月29日 08時04分 公開
[IDG Japan]
IDG

 人気WebサーバのApacheに、システムをクラッシュさせられたり不正コードを実行される恐れのある脆弱性が見つかり、LinuxとUNIXベンダー各社から修正コードがリリースされている。

 この脆弱性は、Apache 1.3.xでプロキシサーバとして利用する設定になっている場合に影響を受ける。脆弱性のあるサーバが悪質なサイトにアクセスすると、特製のパケットを使って脆弱性を悪用される可能性があると、セキュリティ研究者のジョージ・グニンスキ氏は解説。同氏は実証コードを公開している。

 研究者によれば、最も深刻なのはBSDを導入している場合で、コードの実行を許す恐れがある。ほかのプラットフォームではシステムをクラッシュさせられる可能性が高いという。この問題はCommon Vulnerabilities and Exposuresデータベースにも紹介されている。

 グニンスキ氏は今月、このプロキシサーバの脆弱性に関する情報を公開。先月はSSL暗号機能を提供しているApacheコンポーネントにも同じような脆弱性を発見している。しかし、MicrosoftのIISといった競合製品に比べれば、こうした脆弱性はApache全体のセキュリティに影響を及ぼすようなものではないと同氏は言い、「Apacheは今でもWindowsよりはるかに優れている」とアドバイザリーで記している。

 Debianは6月28日、この脆弱性の修正パッチをリリース。Gentoo Linuxも先日パッチをリリース済みだ。Red Hat、OpenBSD、OpenPKGからもこの脆弱性に対応したアップデートがリリースされており、Novell傘下のSUSE LINUXは先日のアドバイザリーで、パッチをテスト中だと記していた。研究者によればAppleのBSD版Mac OS Xも影響を受ける可能性があるが、Appleはまだパッチをリリースしていない。

 セキュリティ研究者によれば、影響を受けるのはApacheのバージョン1.3.31/1.3.29/1.3.28/1.3.27/1.3.26。一方、1.3.32-devでは問題は修正されている。Apacheのプロキシサーバモジュールをオフにすることでも問題は回避できる。

Copyright(C) IDG Japan, Inc. All Rights Reserved.