[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[webdav-jp:0428] mod_encoding のセキュリティホールについて

To: <webdav-jp@xxxxxxxx>
Subject: [webdav-jp:0428] mod_encoding のセキュリティホールについて
From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>
Date: Fri, 7 Jun 2002 02:02:14 +0900
Delivered-to: webdav-jp@begi.net
Posted: Fri, 7 Jun 2002 02:12:12 +0900

　みやもと％One of WebDAV Resources JP Webmastersです。

　このメールは、WebDAV-JP ML , Apache-users ML にそれぞ
れ出しております。

　以下のとおり、mod_encoding のセキュリティホールが発見されました
ので、その内容と FIX についてご報告させていただきます。

---
2002/06/07: mod_encoding のセキュリティホールについて

2002年6月6日に、mod_encoding に脆弱性が発見されました。
この脆弱性により、Apache の実行ユーザ権限でアクセス可能な任意の
ファイルを不正に読み出されてしまう可能性があります。

以下の条件に該当する方は早急に対処を行なって下さい。


・少なくとも，脆弱性が確認された以下のバージョンのmod_encoding を
利用している 

　mod_encoding-20011026a.tar.gz
　mod_encoding-20011211a.tar.gz


　なお、dav-dev ML において一番最初に公開された
mod_encoding.c およびその派生物である mod_encmssjis.c につきまして
は、この脆弱性を有していないことを確認しております。

　この脆弱性は，吉沢 孝敏様からの報告により発見されました。
　ご報告に感謝致します． 


対処法
　以下のいずれかの対処を実施してください。

・mod_encoding-20011211a-hotfix.tar.gz を入手し、コンパイル、インス
トールを実施する。
　当該ファイルは、WebDAV Resources JP (http://webdav.todo.gr.jp/) 
から入手可能です。
　なお、Apache2 対応の試作版につきましても、ベースバージョンが同じ
ため同様の修正を施しております。これもまた WebDAV Resources JP 
より入手可能です。

・mod_encoding-20011211aに含まれる mod_encoding.c について
 以下のパッチを施した上でコンパイル、インストールをしなおす。

*** mod_encoding-20011211a/mod_encoding.c       Tue Dec 11 21:55:38 2001
--- mod_encoding-20011211a-hotfix/mod_encoding.c        Thu Jun  6 21:39:00 2002
***************
*** 451,457 ****
    config_merge,     /* server config merger */
    mod_enc_commands, /* command table */
    NULL,             /* handlers */
!   mod_enc_convert,  /* filename translation */
    NULL,             /* check_user_id */
    NULL,             /* check auth */
    NULL,             /* check access */
--- 451,457 ----
    config_merge,     /* server config merger */
    mod_enc_commands, /* command table */
    NULL,             /* handlers */
!   NULL,             /* filename translation */
    NULL,             /* check_user_id */
    NULL,             /* check auth */
    NULL,             /* check access */
***************
*** 461,465 ****
    NULL,             /* header parser */
    NULL,             /* child_init */
    NULL,             /* child_exit */
!   NULL,             /* post read-request */
  };
--- 461,465 ----
    NULL,             /* header parser */
    NULL,             /* child_init */
    NULL,             /* child_exit */
!   mod_enc_convert,  /* post read-request */
  };


・上記パッチを参考に手動でソースコードを修正し、コンパイル、インス
トールをしなおす。


---
宮本 久仁男 ( Kunio Miyamoto )
E-mail: wakatono@xxxxxxxxxx

Prev by Subject: [webdav-jp:0427] Re: NetBSD+mod_encoding
Next by Subject: [webdav-jp:0429] Re: NetBSD+mod_encoding
Previous by thread: [webdav-jp:0430] Re: NetBSD+mod_encoding
Next by thread: [webdav-jp:0431] GNU Autotools 化 mod_encoding
Index(es):
- Subject
- Thread