-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2003-4401
                                                               JPCERT/CC
                                                              2003-11-06

                 <<< JPCERT/CC REPORT 2003-11-06 >>>

これは JPCERT/CC が 10/26(日) から 11/1(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin O-015
    Apache HTTP Server 2.0.48 Release Fixes Security Vulnerabilities
    http://www.ciac.org/ciac/bulletins/o-015.shtml

    CIAC Bulletin O-016
    Apache HTTP Server 1.3.29 Release Fixes Security Vulnerability
    http://www.ciac.org/ciac/bulletins/o-016.shtml

Apache HTTP サーバのモジュール mod_alias および mod_rewrite には、特定
の正規表現を使った設定を施した場合にバッファオーバーフローを起こす脆弱
性があります。結果として、遠隔から第三者が Apache HTTP サーバを実行し
ているユーザの権限を取得する可能性があります。対象となるのは以下のバー
ジョンの Apache HTTP サーバです。

  - バージョン 1.3.28 およびそれ以前 (1.3 系列)
  - バージョン 2.0.47 およびそれ以前 (2.0 系列)

この問題は、Apache HTTP サーバをバージョン 1.3.29 もしくは 2.0.48 に更
新する、または使用している OS のベンダや配布元などが提供する修正済みの
パッケージに更新することで解決します。

  関連文書 (英語)
    Apache HTTP Server 2.0.48 Released
    http://www.apache.org/dist/httpd/Announcement2.html

    Apache HTTP Server 1.3.29 Released
    http://www.apache.org/dist/httpd/Announcement.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2003 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBP6mkq4x1ay4slNTtAQHsYAP/ZPpBgyVATZ3LB1Vh0hM6An/d2Nn5MlxC
x6XRoJ2e/uGFbYs1rTxq00uz2Hkn3uka8NRUYtOMu6koQXUKS0mB1GHAEhSkzv6w
5umDlVq+bVUnMbwNu6BTj3TVmUFx83o6VQk5pNh7AIBh0pr+RiC463/yOf22Fa4s
JSojfceX+HU=
=phgn
-----END PGP SIGNATURE-----