デンマークSecuniaは現地時間7月16日,Webサーバー「Apache」で使われるSSL/TLSモジュール「mod_ssl 2.x」にセキュリティ・ホールが見つかったことを公表した。リモートから任意のプログラムを実行させられる恐れがある。対策は,最新版の「mod_ssl 2.8.19-1.3.31」にアップグレードすること。
mod_sslを公開している「mod_ssl Project」では,7月16日に最新版2.8.19-1.3.31を公開している。最新版の変更点として「Security fix」と記述しているものの,セキュリティ・ホールの詳細については公表していない。
米US-CERTも,このセキュリティ・ホールに関する情報を米国時間7月19日に公開した。SecuniaとUS-CERTの情報によると,今回のセキュリティ・ホールは,mod_sslで使われている「ssl_log()」関数が原因だという。ssl_log()には「format string vulnerability(書式文字の脆弱性)」と呼ばれるセキュリティ・ホールが存在する(関連記事)。このため,細工を施したデータを送信されると,Webサーバー上で任意のプログラムを実行させられる可能性がある。
対策は,セキュリティ・ホールを修正したmod_ssl 2.8.19-1.3.31にアップグレードすること。OSベンダーなどが公開するパッチを適用することも対策となる。ただし,US-CERTの情報を見る限りでは,mod_ssl Project以外からは,パッチあるいは修正版は公開されていない模様(7月20日現在)。
◎参考資料
◆mod_ssl Unspecified "mod_proxy" Hook Functions Format String Vulnerability(Secunia)
◆ Vulnerability Note VU#303448:mod_ssl contains a format string vulnerability in the ssl_log() function(US-CERT)
◆Latest News(mod_ssl Project)
(勝村 幸博=IT Pro)
