文書番号 52433 最終更新日 2006-02-10 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (1.0.0 - 9.0.2) [Apache Web Server]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 41025   33154  
概要 #45: OHS: Apache 1.3.27 に含まれるセキュリティの修正について
内容:
【問題】

Apache HTTP Server の最新バージョン 1.3.27 のリリースが行なわれました。

このバージョンでは以下のセキュリティ関連の修正が含まれており、これらのセキュ
リティ問題は Oracle HTTP Server (OHS) の全てのバージョンに影響します。

1. CAN-2002-0839
   System V の共有メモリをベースとした scoreboard に関連して引き起こされる
   セキュリティ上の脆弱性です。この問題は、Linux および HP のプラットフォー
   ム上の OHS のみで発生します。その他のプラットフォームの OHS ではこの問題
   は発生しません。この脆弱性のため、悪意のあるユーザーに任意のプログラムを
   Web サーバー上で実行される恐れがあります。scoreboard に関するこのセキュ
   リティ上の問題のために、いくつかの商用のサイトではこの脆弱性が存在します。
   もし、任意のプログラムが実行された場合には、さらに別のセキュリティ上の脆
   弱性を利用して攻撃が行なわれ、より深刻な事態となります。

2. CAN-2002-0840
   デフォルトの 404 エラーページにおけるクロスサイト・スクリプティングのセ
   キュリティ上の脆弱性です。この問題は、全ての OHS のプラットフォームで発
   生します。この問題は、ワイルドカード DNS を使用し、かつ OHS の 
   UseCanonicalName ディレクティブを Off に設定している場合に発生します。

3. CAN-2002-0843
   ApacheBench プログラム (ab) において、バッファーオーバーフローが発生する
   可能性があります。ab は、Apatch のパフォーマンステストを行なうために 
   Apache に負荷をかける HTTP クライアントのユーティリティ・プログラムです。
   (HTTP サーバーに組み込まれているものではありません)すなわち、このセキュ
   リティ上の脆弱性は、HTTP サーバー自体に存在するのではないことにご注意く
   ださい。しかし、何らかの方法により悪意のあるユーザーから ab が起動された
   場合、バッファーオーバーフローによるセキュリティ上の脆弱性が発生する可能
   性があります。この問題は、Windows を除くその他のプラットフォームで存在し
   ます。(Windows プラットフォームの OHS には ab は付属しておりません)

上記のセキュリティ上の脆弱性の問題に関しまして、詳細は以下の URL をご参照く
ださい。

Apache HTTP Server Advisory CAN-2002-0839 (mitre.org) 
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0839
Apache HTTP Server Advisory CAN-2002-0840 (mitre.org) 
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0840
Apache HTTP Server Advisory CAN-2002-0843 (mitre.org) 
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0843


【現在の対応状況】

現在、上記の問題 (CAN-2002-0843 問題を除く) に対応する修正を行なったパッチ
が作成されています。パッチの情報につきましては【パッチ公開情報】をご参照ください。

なお、CAN-2002-0843 の問題に対しましては、明確な対処策が存在するため、修正
パッチの提供を行なう予定はございません。本問題への対処につきましては
【対処策】をご参照ください。


【影響のある製品バージョン】

  - Oracle9i Application Server(以下 9iAS) リリース 9.0.2.x
  - Oracle9i Application Server            リリース 1.0.2.x
  - Oracle Internet Application Server8i   リリース 1.0.0/1.0.1
  - Oracle9i Database                      リリース 9.2.0.x
  - Oracle9i Database                      リリース 9.0.1.x
  - Oracle8i Databese                      リリース 8.1.7.x

  これらに付属の Oracle HTTP Server (OHS)

  *) Oracle HTTP Server (OHS) は Apache をベースに Oracle 社が作成した HTTP
     サーバーです。


【影響のあるプラットフォーム】

CAN-2002-0839 (上記 1. の問題) は、以下のプラットフォームで発生します。

   HP
   ---
   HP 9000 Series HP-UX
   HP 9000 Series HP-UX (64-bit) 

   Linux
   --------
   Intel Based Server LINUX 


CAN-2002-0840 (上記 2. の問題) は、以下のプラットフォームで発生します。

   Sun
   -----
   Sun SPARC Solaris
   Sun SPARC Solaris (64-bit) 

   Microsoft Windows
   -----------------
   MS Windows NT
   MS Windows 2000
   MS Windows XP
   MS Windows Server 2003(32-bit)

   HP
   ------
   HP Tru64 UNIX

   HP
   ---
   HP 9000 Series HP-UX
   HP 9000 Series HP-UX (64-bit) 

   IBM
   ----
   IBM RS 6000 AIX
   IBM RS 6000 AIX (64-bit)

   Linux
   --------
   Intel Based Server LINUX 


CAN-2002-0843 (上記 3. の問題) は、以下のプラットフォームで発生します。

   Sun
   -----
   Sun SPARC Solaris
   Sun SPARC Solaris (64-bit) 

   HP
   ------
   HP Tru64 UNIX

   HP
   ---
   HP 9000 Series HP-UX
   HP 9000 Series HP-UX (64-bit) 

   IBM
   ----
   IBM RS 6000 AIX
   IBM RS 6000 AIX (64-bit)

   Linux
   --------
   Intel Based Server LINUX 


【対処策】

CAN-2002-0839 の問題に対しましては、有効な対処策はありません。

CAN-2002-0840 の問題に対しましては、以下のいずれか(あるいは全て)の対処を
行なうことにより、問題の発生を防ぐことができます。

  1. 404 エラーページをユーザー自身で作成する。
  2. ワイルドカード DNS を使用しない。
  3. UseCanonicalName を On に設定する。

上記 1. の対処の具体的な方法に関しましては、以下の KROWN 文書をご参照くださ
い。

  KROWN 文書番号 33154
  9iAS(Apache):オリジナルエラーメッセージフォーマットを指定するパラメータ
  (ディレクティブ) について ErrorDocument

また、エラーページの作成にあたっては、クロスサイト・スクリプティング脆弱性
が発生することの無いよう充分にご注意ください。クロスサイト・スクリプティン
グ脆弱性に関しましては、以下の KROWN 文書をご参照ください。

  KROWN 文書番号 41025
  [9iAS] mod_plsql クロスサイト・スクリプティング(CSS)脆弱性の問題について

(KROWN 文書の参照には、本文書の先頭にあります "Reference" のリンクをご利用
ください)

CAN-2002-0843 の問題に対しましては、OHS が起動するサーバー上から ApacheBench
プログラムを削除し、悪意のあるユーザーが起動できないよう対処を行なってくだ
さい。ApacheBench プログラムは、HTTP クライアントのユーティリティであり、こ
のプログラムの削除によって、OHS の起動と運用に影響を与えることはありません。


【パッチ公開情報】

 ● パッチの公開状況 (2003年1月8日現在)

 《Oracle9iAS  リリース 9.0.2 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_9020_SOLARIS.zip
       ・Windows NT/2000    ○ パッチ公開中   p2611482_9020_WINNT.zip 
       ・HP-UX              ○ パッチ公開中   p2611482_9020_HPUX11.zip
       ・AIX                ○ パッチ公開中   p2611482_9020_AIX.zip
       ・HP Tru64 UNIX      ○ パッチ公開中   p2611482_9020_TRU64.zip 
       ・Linux              ○ パッチ公開中   p2611482_9020_LINUX.zip 


 《Oracle9iAS パッチ・セットリリース 9.0.2.1 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_9021_SOLARIS.zip
       ・Windows NT/2000    × (注1
       ・HP-UX              ○ パッチ公開中   p2686447_9021_HPUX11.zip
       ・AIX                ○ パッチ公開中   p2708802_9021_AIX.zip
       ・HP Tru64 UNIX      × (注1
       ・Linux              ○ パッチ公開中   p2611482_9021_LINUX.zip

       (注1
       パッチを適用する必要はありません

 《Oracle9iAS  リリース 1.0.2.2 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_1022_SOLARIS.zip
       ・Windows NT/2000    ○ パッチ公開中   p2611482_1022_WINNT.zip
       ・HP-UX              ○ パッチ公開中   p2611482_1022_HPUX11.zip 
       ・AIX                ○ パッチ公開中   p2611482_1022_AIX.zip
       ・HP Tru64 UNIX      ○ パッチ公開中   p2611482_1022_TRU64.zip
       ・Linux              ○ パッチ公開中   p2611482_1022_LINUX.zip

 《Oracle9iAS  リリース 1.0.2.1 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_1021_SOLARIS.zip
       ・Windows NT/2000    ○ パッチ公開中   p2611482_1021_WINNT.zip
       ・HP-UX              ○ パッチ公開中   p2611482_1021_HPUX11.zip 
       ・AIX                ○ パッチ公開中   p2611482_1021_AIX.zip   
       ・HP Tru64 UNIX      ○ パッチ公開中   p2611482_1021_TRU64.zip
       ・Linux              ○ パッチ公開中   p2611482_1021_LINUX.zip

 《Oracle9iAS  リリース 1.0.2.0 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_1020_SOLARIS.zip
       ・Windows NT/2000    ○ パッチ公開中   p2611482_1020_WINNT.zip
       ・HP-UX              ○ パッチ公開中   p2611482_1020_HPUX11.zip   
       ・AIX                ○ パッチ公開中   p2611482_1020_AIX.zip   
       ・HP Tru64 UNIX      ○ パッチ公開中   p2611482_1020_TRU64.zip
       ・Linux              ○ パッチ公開中   p2611482_1020_LINUX.zip

 《Oracle9i データベース リリース 9.2 用》

       プラットフォーム              公開状況          パッチファイル名
       -----------------            ---------------  --------------------------
       ・Solaris                    ○ パッチ公開中   p2611482_9200_SOLARIS.zip
       ・Windows NT/2000/XP/2003    ○ パッチ公開中   p2611482_9200_WINNT.zip
       ・HP-UX                      ○ パッチ公開中   p2611482_9200_HP64.zip
       ・AIX                        ○ パッチ公開中   p2611482_9200_AIX64.zip
       ・AIX 5L                     ○ パッチ公開中   p2611482_9201_AIX64-5L.zip
       ・HP Tru64 UNIX              ○ パッチ公開中   p2611482_9200_TRU64.zip
       ・Linux                      ○ パッチ公開中   p2611482_9200_LINUX.zip 

 《Oracle9i データベース リリース 9.0.1 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_9010_SOLARIS.zip
       ・Windows NT/2000/XP ○ パッチ公開中   p2611482_9010_WINNT.zip
       ・HP-UX              ○ パッチ公開中   p2611482_9010_HPUX11.zip 
       ・AIX                ○ パッチ公開中   p2611482_9010_AIX.zip 
       ・HP Tru64 UNIX      ○ パッチ公開中   p2611482_9010_TRU64.zip
       ・Linux              ○ パッチ公開中   p2611482_9010_LINUX.zip 

 《Oracle8i データベース リリース 8.1.7 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2611482_8170_SOLARIS.zip
       ・Windows NT/2000    ○ パッチ公開中   p2611482_8170_WINNT.zip
       ・HP-UX              ○ パッチ公開中   p2611482_8170_HPUX11.zip
       ・AIX                ○ パッチ公開中   p2611482_8170_AIX.zip
       ・HP Tru64 UNIX      ○ パッチ公開中   p2611482_8170_TRU64.zip
       ・Linux              ○ パッチ公開中   p2611482_8170_LINUX.zip   


   注)
   iAS8i R1.0.0/R1.0.1 への修正は、現在行なわれる予定がありません。
   これらのバージョンをご使用の場合には、バージョンアップをご検討いただきま
   すようお願い致します。


    ◆公開済みのパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> Apache 1.3.27 に含まれるセキュリティの修正 (2002/10/10公開)
        -->  [対応策]  

【参考情報】

Apache HTTP Server Project
http://httpd.apache.org/

http://www.apache.org/dist/httpd/Announcement.html
Apache 1.3.27 Major changes
Security vulnerabilities
The main security vulnerabilities addressed in 1.3.27 are: 

 ・Fix the security vulnerability noted in CAN-2002-0839 (cve.mitre.org) 
   regarding ownership permissions of System V shared memory based 
   scoreboards. The fix resulted in the new ShmemUIDisUser directive. 
 ・Fix the security vulnerability noted in CAN-2002-0840 (cve.mitre.org) 
   regarding a cross-site scripting vulnerability in the default error page
   when using wildcard DNS. 
 ・Fix the security vulnerability noted in CAN-2002-0843 (cve.mitre.org) 
   regarding some possible overflows in ab.c which could be exploited by a
   malicious server. 


【更新履歴】
2006/02/10 Windows XP/ Windows Server 2003 についての記述を追記
2005/01/25 パッチ公開状況の更新(AIX 5L:9200)
2004/05/18 文書管理情報を更新
2003/02/19 PSR9021:AIX のパッチを追記
2003/01/17 PSR9021:AIX,Tru の記述を追記
2003/01/08 パッチ公開状況の更新(AIX:1022,HP:9021)
           すべてのパッチが公開されたことによる記述の変更
2002/12/17 www.oracle.co.jp を otn.oracle.co.jp に変更
2002/12/11 PSR9021 の情報を追加
2002/11/29 誤字の修正
2002/11/29 パッチ公開状況の更新(Tru:1021/1020/8170)
2002/11/01 パッチ公開状況の更新(AIX:9200,Tru:9200)
2002/10/30 パッチ公開状況の更新(HP:8170,AIX:1021/1020/8170,Tru:9010)
2002/10/29 パッチ公開状況の更新(HP:1020,Lnx:1020/8170)
2002/10/28 パッチ公開状況の更新(HP:9200,AIX:9010,TRU:1022)
2002/10/25 パッチ公開状況の更新(HP:1021/9010,Tru:9020,Lnx:1021/9010)
2002/10/24 パッチ公開状況の更新(HP:9020/1022,Lnx:1022/9200)
2002/10/23 パッチ公開状況の更新(Sol:9020,NT:920,HP:1022/9200,AIX:1022/9200,Tru:1022,Lnx:9020/1022/9200)
2002/10/18 パッチ公開状況の更新(Sol,NT)
2002/10/11 各問題の記述と対処策を更新
2002/10/11 CAN-2002-0843 の問題は Windows では発生しないことを追記
2002/10/07 対応状況等の更新
2002/10/04 本KROWN作成