HAHA!
投稿者: damorimejp 投稿日時: 2002/07/20 09:53 投稿番号: [67483 / 203793]
IBM HTTP Server 用セキュリティー脆弱性対応 修正プログラムについて(7月2日更新)
2002年6月26日
先にお知らせしましたように、CERT(R) Advisory CA-2002-17 "Apache Web Server Chunk Handling Vulnerability" などで報告されているように、Apache Web Server にセキュリティー上の脆弱性が発見されています。現時点では実際の被害は報告されておりませんが、不正なリクエストをサーバーに送信することにより、Web ページの改ざんや DoS攻撃、不正侵入などの攻撃を受ける可能性があります。
また、プラットフォームによっては、攻撃者が任意のコードを実行することができる可能性もあります。報告された問題の詳細につきましては、以下のリンクをご覧下さい。
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
JPCERT/CC Alert 2002-06-20 "Apache Web サーバ・プログラムの脆弱性に関する注意喚起"
http://www.jpcert.or.jp/at/2002/at020003.txt
IPA/ISEC "Apache Web サーバにおける chunk データ処理の脆弱性"
http://www.ipa.go.jp/security/ciadr/20020619apache.html
この問題は、Apacheをベースとした IBM HTTP Server (以下 IHS)にも存在しています。
対象となるのは、以下のすべてのプラットフォームのすべてのバージョンの IHS です。
【プラットフォーム】
・AIX
・Linux
・Solaris
・HP-UX
・Windows NT/2000
・OS/400
・Linux/390
日本時間の6月25日の午後、米国IBMの外向けサイトで当問題の報告と修正プログラムの提供が発表されました。
以下の修正プログラムに関する情報は、OS/400のプラットフォームを除いたすべてに適用されます。
OS/400に関しては、別のご案内になります(* 7月1日情報追加)。
z/OS、Linux/390に関する情報も以下をご参照ください(** 7月2日情報追加)。
------------------------------------------------------------------------ -
この問題に関する修正プログラム APAR PQ62369 が公開されました。
該当のシステムをお使いのお客様は,できるだけ早く修正プログラムを適用していただくようお願いします。
修正プログラムの入手方法
まず修正プログラム(e-Fixとも呼びます)の適用前に,IHSをそれぞれのリリースの最新のフィックス・レベルまで上げてください。それぞれ最新バージョンは以下のとおりです。
・IHS 1.3.6.4
・IHS 1.3.12.6
・IHS 1.3.19.2
通常IHSのバージョンアップは,WASのFixPackに同梱されているものを使ってWASと同時に上げることが多いですが,IHS単独で上げることもできます。IHSのバージョンを上げる場合には,WASのバージョンアップは必須ではありません。
今回は、IHSだけのバージョン・アップをお勧めします。
IHSのみのフィックスはWebからダウンロードできます。下記サイトの「Download」のリンクからたどってください。
http://www-3.ibm.com/software/webservers/httpservers/
それぞれのバージョンの直接リンクは以下のようになります。
2002年6月26日
先にお知らせしましたように、CERT(R) Advisory CA-2002-17 "Apache Web Server Chunk Handling Vulnerability" などで報告されているように、Apache Web Server にセキュリティー上の脆弱性が発見されています。現時点では実際の被害は報告されておりませんが、不正なリクエストをサーバーに送信することにより、Web ページの改ざんや DoS攻撃、不正侵入などの攻撃を受ける可能性があります。
また、プラットフォームによっては、攻撃者が任意のコードを実行することができる可能性もあります。報告された問題の詳細につきましては、以下のリンクをご覧下さい。
CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
JPCERT/CC Alert 2002-06-20 "Apache Web サーバ・プログラムの脆弱性に関する注意喚起"
http://www.jpcert.or.jp/at/2002/at020003.txt
IPA/ISEC "Apache Web サーバにおける chunk データ処理の脆弱性"
http://www.ipa.go.jp/security/ciadr/20020619apache.html
この問題は、Apacheをベースとした IBM HTTP Server (以下 IHS)にも存在しています。
対象となるのは、以下のすべてのプラットフォームのすべてのバージョンの IHS です。
【プラットフォーム】
・AIX
・Linux
・Solaris
・HP-UX
・Windows NT/2000
・OS/400
・Linux/390
日本時間の6月25日の午後、米国IBMの外向けサイトで当問題の報告と修正プログラムの提供が発表されました。
以下の修正プログラムに関する情報は、OS/400のプラットフォームを除いたすべてに適用されます。
OS/400に関しては、別のご案内になります(* 7月1日情報追加)。
z/OS、Linux/390に関する情報も以下をご参照ください(** 7月2日情報追加)。
------------------------------------------------------------------------ -
この問題に関する修正プログラム APAR PQ62369 が公開されました。
該当のシステムをお使いのお客様は,できるだけ早く修正プログラムを適用していただくようお願いします。
修正プログラムの入手方法
まず修正プログラム(e-Fixとも呼びます)の適用前に,IHSをそれぞれのリリースの最新のフィックス・レベルまで上げてください。それぞれ最新バージョンは以下のとおりです。
・IHS 1.3.6.4
・IHS 1.3.12.6
・IHS 1.3.19.2
通常IHSのバージョンアップは,WASのFixPackに同梱されているものを使ってWASと同時に上げることが多いですが,IHS単独で上げることもできます。IHSのバージョンを上げる場合には,WASのバージョンアップは必須ではありません。
今回は、IHSだけのバージョン・アップをお勧めします。
IHSのみのフィックスはWebからダウンロードできます。下記サイトの「Download」のリンクからたどってください。
http://www-3.ibm.com/software/webservers/httpservers/
それぞれのバージョンの直接リンクは以下のようになります。
これは メッセージ 1 (retribution さん)への返信です.
固定リンク:https://yarchive.emmanuelc.dix.asia/1835396/a4ja4bc4z9qbfma4oa1a27ya4oa4la4ka4na4aba1a9_1/67483.html