Interstage HTTP ServerにおけるApache1.3.29で修正されたセキュリティ脆弱性問題およびHTTP TRACEメソッドの悪用問題に対する回避方法 (2003年12月5日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
問題点: | Interstage HTTP ServerにおけるApache1.3.29で修正されたセキュリティ脆弱性問題およびTRACEメソッドの悪用問題 | ||||||||||||
製品提供元: | 富士通株式会社 | ||||||||||||
該当製品: |
| ||||||||||||
該当システム: | Windows NT, 2000, XP, Server 2003
Solaris 7, 8, 9 OE Turbolinux 7 RedHat Linux Advanced Server 2.1 | ||||||||||||
システムへの影響: |
| ||||||||||||
回避方法: | 4.に示します。 | ||||||||||||
パッチ: | ありません。 |
1. 背景
Interstage Application Server及びInterstage Application Framework Suiteが提供するInterstage HTTP Server(FJapache)において、以下のセキュリティに関する脆弱性問題が存在しますが、4.回避方法に示す安全な設定になっていれば 問題ありません。現行の運用環境について、4.回避方法に示す安全な設定になっているか確認していただき、安全な設定になっていない場合は早急に4.回避方法を適用してください。
- Apache1.3.29で修正されたセキュリティ脆弱性問題は、以下のCVEに該当します。
「CAN-2003-0542 (cve.mitre.org)
Multiple stack-based buffer overflows in (1) mod_alias and (2) mod_rewrite for Apache before 1.3.29 allow attackers to can create configuration files to cause a denial of service (crash) or execute arbitrary code via a regular expression with more than 9 captures.」 - HTTP TRACEメソッドによる脆弱性の問題は、以下のCERTに該当します。
「Vulnerability Note VU#867593
Multiple vendors' web servers enable HTTP TRACE method by default」
Interstage Application Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/apserver/
Interstage Application Framework Suiteについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/framework/
2. 該当システムの範囲
該当コマンド/ファイル | 製品名 | 対象OS |
---|---|---|
ApacheCore.dll
mod_rewrite.so | Interstage Application Server Enterprise Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A | Windows NT, 2000, Server 2003 |
ApacheCore.dll
mod_rewrite.so | Interstage Application Server Standard Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A | Windows NT, 2000, Server 2003 |
ApacheCore.dll
mod_rewrite.so | Interstage Application Server Web-J Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10 | Windows NT, 2000, Server 2003 |
ApacheCore.dll
mod_rewrite.so | Interstage Application Server Plus
V5.0L20, V5.0L20A, V6.0L10 | Windows NT, 2000, Server 2003 |
ApacheCore.dll
mod_alias.so | Interstage Application Server Plus Developer
V5.0L20, V6.0L10 | Windows NT, 2000, XP, Server 2003 |
ApacheCore.dll
mod_alias.so | Interstage Application Framework Suite
Web Edition V6.0L10 | Windows NT, 2000, Server 2003 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Enterprise Edition
5.0, 5.0.1, 5.1, 5.1.1 | Solaris 7, 8, 9 OE |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Standard Edition
5.0, 5.0.1, 5.1, 5.1.1 | Solaris 7, 8, 9 OE |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Web-J Edition
5.0, 5.0.1, 5.1, 5.1.1 | Solaris 7, 8, 9 OE |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Plus
5.1, 5.1.1 | Solaris 7, 8, 9 OE |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Enterprise Edition
V5.0L10, V5.0L11, V5.0L20 | Turbolinux 7 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Standard Edition
V5.0L10, V5.0L11, V5.0L20 | Turbolinux 7 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Web-J Edition
V5.0L10, V5.0L11, V5.0L20 | Turbolinux 7 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Plus
V5.0L20 | Turbolinux 7 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Enterprise Edition
V5.0L11, V5.0L20 | RedHat Linux
Advanced Server 2.1 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Standard Edition
V5.0L11, V5.0L20 | RedHat Linux
Advanced Server 2.1 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Web-J Edition
V5.0L11, V5.0L20 | RedHat Linux
Advanced Server 2.1 |
httpd
mod_alias.so mod_rewrite.so | Interstage Application Server Plus
V5.0L20 | RedHat Linux
Advanced Server 2.1 |
3. 発見されている問題点
- Apache1.3.29で修正されたセキュリティ脆弱性問題(CAN-2003-0542)
mod_alias/mod_rewriteは細工された正規表現を適切にチェックしていないことが原因で、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、DoS攻撃を受けたり、権限を昇格される可能性があります。
環境定義ファイル(httpd.conf)、または、アクセスファイル(.htaccess)に以下のディレクティブを設定し、かつ、パラメタの正規表現に括弧()を使用し、かつ、括弧()の数を10個以上指定している場合は問題が顕在化する可能性があります。
AliasMatch
ScriptAliasMatch
RedirectMatch
RewriteCond
RewriteRule
4.回避方法に示す安全な設定になっていれば問題ありません。 - HTTP TRACEメソッドの悪用問題(VU#867593)
HTTP TRACEメソッドを使用することにより、HTTPヘッダ情報を取得される問題が存在します。攻撃者にこの問題を悪用された場合、Cookie情報を取得されたり、任意のコードを実行されるなどの攻撃を受ける可能性があります。4.回避方法に示す安全な設定になっていれば問題ありません。
4. 回避方法
- Apache1.3.29で修正されたセキュリティ脆弱性問題(CAN-2003-0542)
環境定義ファイル(httpd.conf)、または、アクセスファイル(.htaccess)に以下のディレクティブを設定し、かつ、パラメタの正規表現に括弧()を使用している場合は、括弧()の数を9個以内で指定してください。
AliasMatch
ScriptAliasMatch
RedirectMatch
RewriteCond
RewriteRule
上記のディレクティブを使用していない場合は本セキュリティ脆弱性問題には該当しません。
なお、セキュリティ脅威の観点から環境定義ファイル(httpd.conf)、または、アクセスファイル(.htaccess)は、一般ユーザがアクセスできないような設定を行うことを推奨します。- 一般ユーザからサーバに対してftp/telnetを禁止する。
- ファイルの権限を管理者のみアクセスできる設定にする。
- HTTP TRACEメソッドの悪用問題(VU#867593)
環境定義ファイル(httpd.conf)に以下を設定し、HTTP TRACEメソッドを無効にしてください。- Windowsの場合
LoadModule rewrite_module modules/mod_rewrite.so
AddModule mod_rewrite.c
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F] - Solaris OE/Linuxの場合
LoadModule rewrite_module libexec/mod_rewrite.so
AddModule mod_rewrite.c
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
- Windowsの場合
5. パッチ情報
ありません。「4.回避方法」に示す安全な設定をしてください。
6. 改版履歴
- 2003年12月5日 新規掲載