PR

Hitach Incident Response Team

 2011年9月4日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Apache HTTPサーバー 2.2.20 リリース(2011/08/30)

 Apache HTTPサーバー 2.2.20では、8月24日に報告されたApache HTTPサーバー 2.x系に存在するサービス不能攻撃を許してしまうRangeヘッダー処理に関する脆弱性(CVE-2011-3192)を解決しています(図1)。

図1●脆弱性(CVE-2011-3192)の対応経緯
図1●脆弱性(CVE-2011-3192)の対応経緯

 写真1に、Rangeヘッダー(Range: bytes=0-,10-5)に対するHTTP応答の違いを示します。確認した範囲では、対策版であるバージョン2.2.20のHTTPステータスコードは200(OK)、影響を受けるバージョンのHTTPステータスコードは206(Partial Content)となるため、外部からの簡易的な調査に使えそうです。ただし、影響を受けるバージョンに回避策(Range ヘッダーに記載可能な項目数を制限する、Rangeヘッダーを無視するなど)を適用しているかどうかの確認については、回避策に応じたテストを確実に実施してください。

写真1●Rangeヘッダー(Range: bytes=0-,10-5)に対するHTTP応答
[画像のクリックで拡大表示]

[参考情報]

米シスコ製品に複数の脆弱性

■Apache HTTPd Rangeヘッダー脆弱性の影響(2011/08/30)

 Apache HTTPdサーバーには、Rangeヘッダー処理に起因する、サービス不能攻撃を許してしまう脆弱性(CVE-2011-3192)が存在します。シスコ製品のうち、Cisco MDS 9000 NX-OS、Cisco NX-OS、Cisco TelePresence Video Communication Server、Cisco CTS TelePresence System、Cisco Video Surveillance ManagerとOperations Manager、Management Center、Cisco Wireless Control Systemは、この脆弱性による影響を受けるため、不正なHTTP要求によって、サービス不能状態に陥る可能性があります。

■Cisco TelePresence製品(2011/08/30)

 Cisco TelePresenceは、音声、ビデオ、および対話要素を組み合わせて、対面形式の会議を実現するための製品群です。このCisco TelePresence製品群のエンドポイントデバイスである、Cシリーズ、MXPシリーズ、E/EXパーソナルビデオユニットには、サービス不能攻撃を許してしまう脆弱性(CVE-2011-2577)が存在します。サービス不能につながる脆弱性は、不正なSIP(Session Initiation Protocol)メッセージ受信が引き金となり異常終了が発生するというものです。対象となるSIPポート番号は5060、5061です。

[参考情報]

認証局DigiNotarから発行された不正な電子証明書問題(2011/08/30)