2011年9月4日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
Apache HTTPサーバー 2.2.20 リリース(2011/08/30)
Apache HTTPサーバー 2.2.20では、8月24日に報告されたApache HTTPサーバー 2.x系に存在するサービス不能攻撃を許してしまうRangeヘッダー処理に関する脆弱性(CVE-2011-3192)を解決しています(図1)。
写真1に、Rangeヘッダー(Range: bytes=0-,10-5)に対するHTTP応答の違いを示します。確認した範囲では、対策版であるバージョン2.2.20のHTTPステータスコードは200(OK)、影響を受けるバージョンのHTTPステータスコードは206(Partial Content)となるため、外部からの簡易的な調査に使えそうです。ただし、影響を受けるバージョンに回避策(Range ヘッダーに記載可能な項目数を制限する、Rangeヘッダーを無視するなど)を適用しているかどうかの確認については、回避策に応じたテストを確実に実施してください。
[参考情報]
- Apache:Apache httpd 2.2 vulnerabilities
- cNotes(Current Status Notes):Apache HTTPD Security ADVISORY(UPDATE 3 - FINAL)
米シスコ製品に複数の脆弱性
■Apache HTTPd Rangeヘッダー脆弱性の影響(2011/08/30)
Apache HTTPdサーバーには、Rangeヘッダー処理に起因する、サービス不能攻撃を許してしまう脆弱性(CVE-2011-3192)が存在します。シスコ製品のうち、Cisco MDS 9000 NX-OS、Cisco NX-OS、Cisco TelePresence Video Communication Server、Cisco CTS TelePresence System、Cisco Video Surveillance ManagerとOperations Manager、Management Center、Cisco Wireless Control Systemは、この脆弱性による影響を受けるため、不正なHTTP要求によって、サービス不能状態に陥る可能性があります。
■Cisco TelePresence製品(2011/08/30)
Cisco TelePresenceは、音声、ビデオ、および対話要素を組み合わせて、対面形式の会議を実現するための製品群です。このCisco TelePresence製品群のエンドポイントデバイスである、Cシリーズ、MXPシリーズ、E/EXパーソナルビデオユニットには、サービス不能攻撃を許してしまう脆弱性(CVE-2011-2577)が存在します。サービス不能につながる脆弱性は、不正なSIP(Session Initiation Protocol)メッセージ受信が引き金となり異常終了が発生するというものです。対象となるSIPポート番号は5060、5061です。
[参考情報]
- シスコ:cisco-sa-20110830-apache: Apache HTTPd Range Header Denial of Service Vulnerability
- シスコ:cisco-sa-20110831-tandberg: Denial of Service Vulnerability in Cisco TelePresence Codecs
