[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]
[webdav-jp:0428] mod_encoding のセキュリティホールについて
- To: <webdav-jp@xxxxxxxx>
- Subject: [webdav-jp:0428] mod_encoding のセキュリティホールについて
- From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>
- Date: Fri, 7 Jun 2002 02:02:14 +0900
- Delivered-to: webdav-jp@begi.net
- Posted: Fri, 7 Jun 2002 02:12:12 +0900
みやもと%One of WebDAV Resources JP Webmastersです。
このメールは、WebDAV-JP ML , Apache-users ML にそれぞ
れ出しております。
以下のとおり、mod_encoding のセキュリティホールが発見されました
ので、その内容と FIX についてご報告させていただきます。
---
2002/06/07: mod_encoding のセキュリティホールについて
2002年6月6日に、mod_encoding に脆弱性が発見されました。
この脆弱性により、Apache の実行ユーザ権限でアクセス可能な任意の
ファイルを不正に読み出されてしまう可能性があります。
以下の条件に該当する方は早急に対処を行なって下さい。
・少なくとも,脆弱性が確認された以下のバージョンのmod_encoding を
利用している
mod_encoding-20011026a.tar.gz
mod_encoding-20011211a.tar.gz
なお、dav-dev ML において一番最初に公開された
mod_encoding.c およびその派生物である mod_encmssjis.c につきまして
は、この脆弱性を有していないことを確認しております。
この脆弱性は,吉沢 孝敏様からの報告により発見されました。
ご報告に感謝致します.
対処法
以下のいずれかの対処を実施してください。
・mod_encoding-20011211a-hotfix.tar.gz を入手し、コンパイル、インス
トールを実施する。
当該ファイルは、WebDAV Resources JP (http://webdav.todo.gr.jp/)
から入手可能です。
なお、Apache2 対応の試作版につきましても、ベースバージョンが同じ
ため同様の修正を施しております。これもまた WebDAV Resources JP
より入手可能です。
・mod_encoding-20011211aに含まれる mod_encoding.c について
以下のパッチを施した上でコンパイル、インストールをしなおす。
*** mod_encoding-20011211a/mod_encoding.c Tue Dec 11 21:55:38 2001
--- mod_encoding-20011211a-hotfix/mod_encoding.c Thu Jun 6 21:39:00 2002
***************
*** 451,457 ****
config_merge, /* server config merger */
mod_enc_commands, /* command table */
NULL, /* handlers */
! mod_enc_convert, /* filename translation */
NULL, /* check_user_id */
NULL, /* check auth */
NULL, /* check access */
--- 451,457 ----
config_merge, /* server config merger */
mod_enc_commands, /* command table */
NULL, /* handlers */
! NULL, /* filename translation */
NULL, /* check_user_id */
NULL, /* check auth */
NULL, /* check access */
***************
*** 461,465 ****
NULL, /* header parser */
NULL, /* child_init */
NULL, /* child_exit */
! NULL, /* post read-request */
};
--- 461,465 ----
NULL, /* header parser */
NULL, /* child_init */
NULL, /* child_exit */
! mod_enc_convert, /* post read-request */
};
・上記パッチを参考に手動でソースコードを修正し、コンパイル、インス
トールをしなおす。
---
宮本 久仁男 ( Kunio Miyamoto )
E-mail: wakatono@xxxxxxxxxx