-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2002-0003
                                                            JPCERT/CC
                                                           2002-06-20

		  <<< JPCERT/CC Alert 2002-06-20 >>>

	 Apache Web サーバプログラムの脆弱性に関する注意喚起

	      Vulnerability of Apache Web server program

	     http://www.jpcert.or.jp/at/2002/at020003.txt

I. 概要

Apache Software Foundation の HTTP Server Project が提供している Web
サーバプログラムに脆弱性が発見されました。HTTP/1.1 で規定されている
chunked エンコーディングで送られてきたリクエストを適切に処理できない場
合があるため、結果として、サービス運用妨害を受けたり、遠隔から第三者が
サーバプログラムのユーザ権限を取得する可能性があります。この問題は Web
サーバプログラムを修正されたバージョンに更新することで解決します。


II. 対象

Apache Software Foundation より発行されているドキュメントによると、こ
の問題が存在する Web サーバプログラムは以下のバージョンです。

  1.2 系列: バージョン 1.2.2  以降
  1.3 系列: バージョン 1.3.24 以前
  2.0 系列: バージョン 2.0.36 以前


III. 対策

Apache Software Foundation の HTTP Server Project では、問題への対策を
施したバージョンとして 1.3.26 および 2.0.39 を公開しています。各ベンダ
や配布元の提供するパッチの適用や問題を修正したパッケージへの更新などを
ご検討ください。詳細については、各ベンダや配布元の提供する最新情報をご
参照ください。



[関連文書]

※ 随時更新されていますので最新版をご確認ください。

  Apache Security Advisory: June 17, 2002
  http://httpd.apache.org/info/security_bulletin_20020617.txt

  CERT Advisory CA-2002-17
  Apache Web Server Chunk Handling Vulnerability
  http://www.cert.org/advisories/CA-2002-17.html

  Debian Security Advisory DSA-131-1
  apache -- remote DoS / exploit
  http://www.debian.org/security/2002/dsa-131

  Debian Security Advisory DSA-132-1
  apache-ssl -- remote DoS / exploit
  http://www.debian.org/security/2002/dsa-132

  FreeBSD Security Notices FreeBSD-SN-02:04
  ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:04.asc

  OpenBSD 3.1 errata 005: SECURITY FIX: Jun 19, 2002
  http://www.openbsd.org/errata.html#httpd

  RedHat Advisory RHSA-2002:103-13
  Updated Apache packages fix chunked encoding issue
  http://rhn.redhat.com/errata/RHSA-2002-103.html

  SGI Security Advisory
  Apache Web Server Chunk Handling vulnerability
  ftp://patches.sgi.com/support/free/security/advisories/20020605-01-A

  Vine Linux errata
  Apache にセキュリティホール
  http://www.vinelinux.org/errata/25x/20020619.html

  CERT Vulnerability Note VU#944335
  Apache web servers fail to handle chunks with a negative size
  http://www.kb.cert.org/vuls/id/944335


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡
ください。

======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbS2Ix1ay4slNTtAQFTLAP7BLJbiJakO4WPc4T1SuCDjjeQ/8O0+D6Q
Rct9MwuXdaxUHiOTj8qXl+QStbHnnY2S4waeBOgTVuWAvU2jWvwxkaBeirg8Se3y
EhpOwE5hnUZL7YFTNxxNF5qAy0iiVyVepROfl7fbGiT9NLJuBh1IJTS/phskocFV
J4fV0XHi9Ik=
=cT5z
-----END PGP SIGNATURE-----