|
■URL
http://httpd.apache.org/
http://httpd.apache.org/info/security_bulletin_20020617.txt
http://www.cert.org/advisories/CA-2002-17.html
 |
|
バグを報告するApacheのサイト |
Apache GroupやCERT/CCは、Webサーバー「Apache」にDoS脆弱性が発見されたと発表した。対象となるバージョンは、「1.3から1.3.24」と、「2.0から2.0.36」となっており、多くのバージョンが含まれる。
Apache Groupによるとこの脆弱性は、対象バージョンに含まれる「ChunkedEncoding」にバグが存在することが原因。このバグにより、Webサイトの改竄やDoSなどの複数の攻撃が可能になる。これは、Windowsや64bitUNIXなどのプラットフォームに共通する脆弱性なので、プラットフォームを問わずApacheを導入している管理者は、注意が必要だ。
この問題に対応するためには、Apache Groupにより提供される予定であるApacheの最新バージョン「1.3.25」、「2.0.39」を導入しなければならない。最新バージョンは現在まだ製作中の段階なので、提供された際は、即座に導入する必要がある。
追記(6月19日):
Apache Groupは、上記の脆弱性の対策を施した最新バージョン「1.3.26」、「2.0.39」を公開した。
(2002/6/18)
[Reported by otsu-j@impress.co.jp / taiga@scientist.com]