アーカイブ

Apache HTTP Server v2 Causes a DoS When Parsing a Type-Map File

2003年7月9日　|　注意喚起

SNS Advisory No.66

Problem first discovered on: 26 Dec 2002
Published on: 9 Jul 2003

概要

Apache 2.0.47未満のバージョンには、ローカルの攻撃者がシステムをDoS状態に陥らせることのできる問題があります。

Apache HTTPサーバのバージョン2に実装されているコンテントネゴシエーション機能は、Webブラウザから提供されたメディアタイプや言語、文字セット、エンコーディングの優先傾向に基づき、最適のリソースを提供することができます。

このリソースのネゴシエーションに用いられる方法のひとつとして、type-mapファイルを使用することができます。

ローカルの攻撃者は無限ループを引き起こすtype-mapファイルを設置したのちに、このファイルをApache HTTPサーバのプロセスに解釈させることで、システムのリソースを消費し尽くさせることが可能です。結果として、ローカルの攻撃者はシステムをDoS状態に陥らせることができます。

Apache 2.0.43
Apache 2.0.44
Apache 2.0.45
Apache 2.0.46

Apache 2.0.47へアップグレードを行うことでこの問題を解消することができます。

The Apache HTTP Server Project

http://httpd.apache.org/

山崎圭吾

謝辞：

Apache Software Foundation

http://www.apache.org/

CERT Coordination Center

http://www.cert.org/

JPCERT Coordination Center

http://www.jpcert.or.jp/