OHS:チャンクハンドリングのセキュリティ脆弱性の問題(CA-2002-17)について

先日CERT から出されました Apache Web Server のチャンクハンドリングの問題
http://www.cert.org/advisories/CA-2002-17.html
CERT ADVISORY CA-2002-17 APACHE WEB SERVER CHUNK HANDLING VULNERABILITY
についての状況を本KROWN にて報告させて頂きます。

● 問題概要
クライアントからサーバーにデータを転送する際の HTTP/1.1 の機能である
送信方法のチャンク(chunk)エンコーディングを使用し、悪意のあるユーザが
特殊に作成されたデータをサーバー側に送ることによって Windowsプラットフォームと
64-bit UNIX OS をご使用の場合には任意のコードの実行を、また32-bit UNIX OS を
ご使用の場合にはサービス妨害(DoS)を引き起こす可能性があります。


● 対応状況

現在、開発部門にて修正箇所の特定を完了し、最新のバージョンへの修正の反映は
終了しております。現在各プラットフォームの各リリースに対して修正がだされて
おりますので、下記 「●パッチの情報」をご確認下さい。

● 対象リリース

問題が発生するリリース  ：Oracle9i Database Relase2(9.2.0) ※製品名を含める
問題が発生するリリース  ：Oracle9i Application Server(以下 9iAS) リリース 1.0.2.x/9.0.2.0 
                          Oracle Internet Application Server8i   リリース 1.0.0/1.0.1  
                          Oracle9i Database                      リリース 9.2.0/9.0.1.x  
                          Oracle8i Databese                      リリース 8.1.7.x  

                          これらに付属の Oracle HTTP Server (OHS)
                          *) Oracle HTTP Server (OHS)は Apache をベースにOracle社が作成した
                             HTTPサーバーです。
                          *) EBS 11iのOracle HTTP Serverについては、KROWN#47727 をご参照ください。

問題を修正したリリース  ：Oracle9i Application Server Release 2(9.0.3) 
                          Oracle Application Server 10g (9.0.4)
                          Oracle Database 10g Release 1 (10.1.0)
問題を修正予定のリリース：なし
問題を修正したPSR       ：Oracle9i Application Server Core Patch Set 9.0.2.1 
問題を修正予定のPSR     ：なし


● 影響のあるプラットフォーム

    Sun
    -----
    Sun SPARC Solaris
    Sun SPARC Solaris (64-bit) 
    
    Microsoft Windows
    -----------------
    MS Windows NT
    MS Windows 2000
    MS Windows XP
    MS Windows Server 2003
    
    HP
    ------
    HP Tru64 UNIX
    
    HP
    ---
    HP 9000 Series HP-UX
    HP 9000 Series HP-UX (64-bit) 
    
    IBM
    ----
    IBM RS 6000 AIX
    IBM RS 6000 AIX (64-bit)
      
    Linux
    --------
    Intel Based Server LINUX 

● パッチの情報

【日本のお客様へのご案内】
パッチの作成状況は下記の様になります。

   ◆ 2002年7月22日にすべて公開されております。


《Oracle9iAS  リリース 1.0.2.2用》

       プラットフォーム             公開状況
      -----------------             ----------------
　　　・Solaris                     ○ パッチ公開中(p2424256_102_SOLARIS.zip)
　　　・Windows NT/2000             ○ パッチ公開中(p2424256_102_WINNT.zip)
　　　・HP-UX                       ○ パッチ公開中(p2424256_1319_HPUX11.zip)
　　　・AIX                         ○ パッチ公開中(p2424256_1319_AIX.zip)
　　　・HP Tru64 UNIX               ○ パッチ公開中(p2424256_1319_TRU64.zip)
　　　・Linux                       ○ パッチ公開中(p2424256_1319_LINUX.zip)

    注1)
    - p2424256_102_XXX.zip は9iAS1.0.2.2以降の修正が含まれた集合パッチ
      になります。本KROWNで案内をしている修正も含まれています。
      修正一覧は展開されたREADME.txt ファイルをご覧下さい。
      現時点では Solaris版と WindowsNT/2000版 のみが公開されています。
    - p2424256_1319_XXX.zip は本KROWNで案内をしている修正のみが含まれる
      パッチになります。

《Oracle9iAS  リリース 1.0.2.1用》

       プラットフォーム             公開状況
      -----------------             ----------------
　　　・Solaris                     ○ パッチ公開中(p2447322_102_SOLARIS.zip)
　　　・Windows NT/2000             ○ パッチ公開中(p2447322_102_WINNT.zip)
　　　・HP-UX                       ○ パッチ公開中(p2447322_102_HPUX.zip)
　　　・AIX                         ○ パッチ公開中(p2447322_102_AIX.zip)
　　　・HP Tru64 UNIX               ○ パッチ公開中(p2447322_102_TRU64.zip)
　　　・Linux                       ○ パッチ公開中(p2447322_102_LINUX.zip)

《Oracle9iAS  リリース 1.0.2.0用》

       プラットフォーム             公開状況
      -----------------             ----------------
　　　・Solaris                     ○ パッチ公開中(p2460554_102_SOLARIS.zip)
　　　・Windows NT/2000             ○ パッチ公開中(p2460554_102_WINNT.zip)
　　　・HP-UX                       ○ パッチ公開中(p2460554_102_HPUX.zip)
　　　・AIX                         ○ パッチ公開中(p2460554_102_AIX.zip)
　　　・HP Tru64 UNIX               ○ パッチ公開中(p2460554_102_TRU64.zip)
　　　・Linux                       ○ パッチ公開中(p2460554_102_LINUX.zip)


《Oracle9iAS  リリース 9.0.2.0用》

      下記プラットフォームにつきましては、
      ・Solaris
      ・HP-UX
      ・Linux
      製品 CD-PACKに付属の下記 CD-ROMに含まれる OHSのパッチを適用して下さい。

      Oracle 9i Application Server Release 2(9.0.2) Update Kit 

      その他のプラットフォーム(Windows NT/2000等)につきましては、製品に修正が
      含まれております。      


《Oracle9i データベース リリース 9.2.0 用》

      製品 CD-PACK に付属の下記 CD-ROM に含まれる OHS のパッチを適用して下さい。

      Oracle9i Database Release 2 (9.2.0.1.0) プラットフォーム共通 Update Kit 

      
《Oracle9i データベース リリース 9.0.1 用》

       プラットフォーム             公開状況
      -----------------             ----------------
　　　・Solaris                     ○ パッチ公開中(p2424256_9010_SOLARIS.zip)
　　　・Windows NT/2000/XP          ○ パッチ公開中(p2424256_9010_WINNT.zip)
　　　・HP-UX                       ○ パッチ公開中(p2424256_9010_HPUX11.zip )
　　　・AIX                         ○ パッチ公開中(p2424256_9010_AIX.zip)
　　　・HP Tru64 UNIX               ○ パッチ公開中(p2424256_9010_TRU64.zip)
　　　・Linux                       ○ パッチ公開中(p2424256_9010_LINUX.zip)

《Oracle8i データベース リリース 8.1.7 用》

       プラットフォーム             公開状況
      -----------------             ----------------
　　　・Solaris                     ○ パッチ公開中(p2424256_8170_SOLARIS.zip)
　　　・Windows NT/2000             ○ パッチ公開中(p2424256_8170_WINNT.zip)
　　　・HP-UX                       ○ パッチ公開中(p2424256_8170_HPUX11.zip)
　　　・AIX                         ○ パッチ公開中(p2424256_8170_AIX_2.zip)     ●注2)
　　　・HP Tru64 UNIX               ○ パッチ公開中(p2424256_8170_TRU64.zip)
　　　・Linux                       ○ パッチ公開中(p2424256_8170_LINUX_2.zip)   ●注2)

     注2)
     パッチ p2424256_8170_LINUX.zip と p2424256_8170_AIX.zip　に含まれる 
     httpd には、SSLで接続できない問題があります。この問題の修正を含んだ
     新しいパッチを p2424256_8170_AIX_2.zip, p2424256_8170_LINUX_2.zip
     として 2002/07/15 に公開いたしました。

    ◆公開済みのパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> Oracle HTTP Server : チャンクハンドリングのセキュリティの脆弱性(2002/6/24公開)
        -->  [対応策]  

    注)
    iAS8i R1.0.0/R1.0.1 への修正は現在行なわれる予定がありません。
    これらのバージョンをご使用の場合には、バージョンアップをご検討いただきますよう
    お願い致します。


● よくあるご質問と回答

Q1. Apache.org等で出されているパッチを OHS 側に適用することは可能でしょうか？

A1. OHS は Oracle独自の拡張機能が入っているために Apache側でだされたパッチを
    適用することはできません。弊社から提供されるパッチを適用頂けますよう
    お願い致します。

Q2. データベースの PSR の適用と、この修正の関係はあるのでしょうか？

A2. データベースの PSR には OHS の修正は含まれませんので、PSRのバージョンに
    関係なく本件のパッチの適用が可能です。 また現時点で出荷されている PSR を
    追加で適用した場合にも本パッチが上書きされる事はありません。



● 関連リンク
http://httpd.apache.org/info/security_bulletin_20020617.txt

http://www.cert.org/advisories/CA-2002-17.html
CERT ADVISORY CA-2002-17 APACHE WEB SERVER CHUNK HANDLING VULNERABILITY

http://www.kb.cert.org/vuls/id/944335
Apache web servers fail to handle chunks with a negative size

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0392


● 謝辞
オラクル社はこの脆弱性に関する情報を提供していただきました Next Generation
Security Software Limited 社の Mark Litchfield 様に深く感謝をいたします。


[更新履歴]
2006/02/10 影響のあるプラットフォームに、Windows XP と Windows Server 2003 を追加
           "パッチの情報" のプラットフォームに XP を追加
2004/08/17 影響のあるリリース/影響のないリリース をまとめて 対象リリース に変更
2004/05/25 影響のないリリース を追加
2002/12/17 www.oracle.co.jp を otn.oracle.co.jp に変更
2002/10/10 Oracle9iAS Release 2(9.0.2)の情報を更新
2002/10/01 Oracle9i 9.2.0 の情報を追加
2002/09/24 EBS 11iのOracle HTTP Serverについての参照KROWNを紹介
2002/07/22 すべてのパッチが公開されたことによる記述の変更
2002/07/22 パッチ公開状況の更新(Tru:1021,AIX/Tru:1020)
2002/07/19 パッチ公開状況の更新(HP/Lnx/AIX/Tru:1020)
2002/07/18 パッチ公開状況の更新(TRU:1021,SOL/NT/HP/Lnx:1020)
2002/07/17 パッチ公開状況の更新(ALL:1020)
2002/07/16 Q&A:2 の追加
2002/07/16 パッチ公開状況の更新(Tru:817)
2002/07/15 パッチ公開状況の更新(AIX,Lnx:817)
2002/07/12 注2) の追加 (AIX,Lnx:817)
2002/07/12 パッチ公開状況の更新(HP:817)
2002/07/11 パッチ公開状況の更新(HP/Tru:817)
2002/07/10 パッチ公開状況の更新(AIX:817,HP/AIX/Lnx:1021)
2002/07/09 パッチ公開状況の更新(AIX:817,HP/AIX/Lnx:1021)
2002/07/08 パッチ公開状況の日付更新
2002/07/05 パッチ公開状況の更新(Tru:1022,HP:901,Lnx:817,SOL/NT:1021)
2002/07/04 パッチ公開状況の更新(Tru:1022,HP:901,Lnx:817,ALL:1021)
2002/07/03 パッチ公開状況の更新(HP/AIX/Lnx:1022)
2002/07/02 パッチ公開状況の更新(SOL/NT:817,HP/AIX/Tru/Lnx:1022)
2002/07/01 パッチ公開状況の更新(SOL/NT:817)
2002/06/28 パッチ公開状況の更新(SOL/NT/AIX/Tru/Lnx:901)
2002/06/27 パッチ公開状況の更新(SOL:1022,SOL/NT/AIX/Tru/Lnx:901)
2002/06/26 パッチ公開状況の更新(NT/SOL:1022)
2002/06/25 パッチ公開状況の更新(NT:1022)
2002/06/24 パッチ公開状況の日付更新
2002/06/22 対応状況等の更新、注意 の削除、謝辞の追加
2002/06/20 Oracle Internet Application Server8i の追加
2002/06/19 本KROWN登録