PR

Hitach Incident Response Team

 3月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache HTTPサーバー2.4.9リリース(2014/03/17)

 Apache HTTPサーバー2.4.8では、mod_log_config、mod_davモジュールでのサービス拒否攻撃を許してしまう脆弱性(CVE-2014-0098、CVE-2013-6438)を解決しています。mod_log_configでの問題は、スレッド化されたマルチプロセッシングモジュールを使用している場合に、形式が不正なクッキーを含むHTTP要求を受信すると影響を受ける可能性があります。また、mod_davでの問題は、XMLを処理する際に、終端位置を適切に算出しないことに起因する問題で、DeltaVをサポートするDavモジュールを使用している場合に影響を受ける可能性があります。なお、バージョン2.4.8はリリースはされません。

 Apache HTTPサーバー2.4.9では、mod_sslとmod_luaモジュールの不具合を解決しています。

OpenSSH 6.6、OpenSSH 6.6p1リリース(2014/03/16)

 OpenSSH 6.6、OpenSSH 6.6p1では、sshd_configのAcceptEnvでワイルドカードを用いて環境変数を引き渡している場合に、ワイルドカードより前の文字列に含まれる変数を受け入れてしまう問題を解決しています。また、ssh、sshd、sshd_configに存在するバグの修正しています。