最終更新日: 2002年 7月 15日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
Scalper Worm( 仮称)の出現
下記脆弱性を攻撃するワーム出現の情報を確認しております。
7/8 14:00現在このワームに関する被害届出は3件です。
今後この脆弱性を抱えたWebサーバーへの被害が拡大する恐れもあることから注意が必要です。ワクチンベンダーの情報
ELF_SCALPER.A(Trend Micro):
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=ELF_SCALPER.AFreeBSD.Scalper.Worm(Symantec):
http://www.symantec.com/region/jp/sarcj/data/f/freebsd.scalper.worm.htmlScalper(F-Secure):
http://www.f-secure.co.jp/v-descs/v-descs3/scalper.htmBSD/Scalper.worm(日本ネットワークアソシエイツ):
http://www.nai.com/japan/virusinfo/virS.asp?v=BSD/Scalper.wormFreeBSD/Scalper.worm(Ahnlab):
http://japan.ahnlab.com/virusinfo/view.asp?seq=196&pageNo=1
Apache Web サーバーにおける chunk データ処理の脆弱性
概要
広く利用されている Web サーバーソフトウェアである Apache において、chunk エンコード形式のデータを含む HTTP 要求の処理にバグがあり、巧妙に細工された HTTP 要求により、DoS 攻撃、リモートからの侵入または Web 改ざん等の攻撃を受ける可能性があります。
なお、chunk エンコード形式については、RFC 2616 において HTTP 1.1 の仕様で規定されています。
影響範囲
- 1.x系: 1.2.2以上 1.3.24まで
- 2.0系: 2.0以上 2.0.36まで
アプリケーションサーバー製品等には、Apache を利用しているものがあり、同様の脆弱性が存在する可能性があります。
影響の程度
プラットフォームにより異なります。
DoS (サービス妨害)攻撃ではワーカープロセス(個別要求を処理する子プロセス)の停止、CPU ロードの異常上昇、 メモリーを使い尽くす等の影響を受けます。また、この脆弱性を攻略する手法が、出回っていることを確認しています。(IPA/ISEC においても一部のプラットフォームについて確認しました。)
リモートからの攻略に関しては、 当初の情報では 32ビット UNIX 系プラットフォームは該当しないとされていましたが、 これは誤りであり、全てのプラットフォームで可能性があります。実際に、攻略プログラム (exploit) が出回っていることを確認しています。
痕跡
IPA/ISEC ラボにおける DoS 攻撃に対する検証では、次のようなログが残りました。
access_log
なし
error_log
[Tue Jun 18 17:33:44 2002] [notice] child pid 15425 exit signal Segmentation fault (11)
ただし、プラットフォームによってはワーカープロセスが停止せず、error_log が残らない場合があります。その場合にはプロセス統計などで CPU ロード、メモリ消費などの異常が検出されます。
対策
最新版にアップグレードします。
- 1.x系: 1.3.26 (2002/6/19 現在)
- 2.0系: 2.0.39 (2002/6/19 現在)
The Apache HTTP Server Project
JAPAN APACHE USERS GROUP
各種ディストリビューションに含まれている Apache を利用している場合は、ベンダー/ディストリビュータからの情報を確認してください。
アプリケーションサーバー製品等には、Apache を利用した製品があります。これらについては、ベンダーに確認する必要があります。
参考資料
JPCERT/CC Apache Web サーバープログラムの脆弱性に関する注意喚起
Apache Software Foundation SECURITY ADVISORY: June 17, 2002
CERT® Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
ベンダー情報
- Apple ソフトウェアアップデート
- Security Update July 2002
http://www.apple.co.jp/ftp-info/reference/security_update_july2002.html- Compaq
- OpenVMS - Compaq Secure Web Server
http://openvms.compaq.co.jp/products/internet/csws.html- Debian GNU/Linux
- DSA-131-1 apache -- remote DoS / exploit
http://www.debian.org/security/2002/dsa-131
DSA-132-1 apache-ssl -- remote DoS / exploit
http://www.debian.org/security/2002/dsa-132- Engrade Secure Linux Security Advisory
- ESA-20020619-014
http://www.linuxsecurity.com/advisories/other_advisory-2137.html- FreeBSD Project Security Notice
- FreeBSD-SN-02:04 security issues in ports 2002-06-19
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:04.asc- Fujitsu
- Interstage Application Server製品内Interstage HTTP Serverにおけるセキュリティ脆弱性の問題
http://software.fujitsu.com/jp/security/main.html- Hitachi
- Apache Web Serverに関するセキュリティ問題への対応
http://www.hitachi-support.com/security/apache/apache.shtml- IBM HTTP Server 用セキュリティー脆弱性対応 修正プログラムについて(7月2日更新)
- http://www.ibm.com/news/jp/2002/07/07021.html
- Kondara MNU Linux
- Errata
http://www.kondara.org/errata/index.php?mode=v;v=21;c=S;oid=78844- MIRACLE LINUX
- apache アップデート
http://www.miraclelinux.com/support/update/data/apache.html- NEC
- Apache HTTP Server:チャンクハンドリングのセキュリティの脆弱性に関するご報告
http://www.sw.nec.co.jp/middle/WebOTX/apache020626.html- NetBSD Project
- Latest Apache Packages Fix Security Issue (19 Jun)
http://www.netbsd.org/Changes/#apache-pkg- OpenBSD 3.1 Security Advisories
- 005: SECURITY FIX: June 19, 2002
http://www.openbsd.org/errata.html#httpd- Oracle セキュリティ情報
- Oracle HTTP Server : チャンクハンドリングのセキュリティの脆弱性
http://www.oracle.co.jp/news/security/top.html- Red Hat Support
- Updated Apache packages fix chunked encoding issue
Advisory: RHSA-2002:103-13
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-103J.html- SuSE Security Announcement
- SuSE Security Announcement: Apache (SuSE-SA:2002:022)
http://www.suse.com/de/support/security/2002_22_apache.html- SGI Security Advisory
- Apache Web Server Chunk Handling vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020605-01-I- Symantec Service and Support
- Bulletin> Symantec Enterprise Firewall/Raptor Firewal SupportNow! News Bulletin
http://www.symantec.com/techsupp/bulletin/archive/firewall/072002firewall.html- Sun Microsystems
- Sun Cobalt ダウンロード
http://jp.sunsolve.sun.com/patches/cobalt/japan/- Turbolinux Japan Security Center
- http://www.turbolinux.co.jp/security/
- Vine Linux errata
- Apache にセキュリティホール
http://www.vinelinux.org/errata/25x/20020619.html
2002年 6月19日 掲載。
2002年 6月20日 攻撃による影響、攻撃手法・ツールの状況を更新。
2002年 6月21日 ベンダー情報を追加。
2002年 7月 1日 Scalper Worm とワクチンベンダー情報を追加。
2002年 7月 3日 届出件数変更。ベンダー情報を追加。
2002年 7月 8日 ベンダー情報を追加・更新。
2002年 7月 9日 ベンダー情報を追加。
2002年 7月10日 ベンダー情報を追加。
2002年 7月15日 ベンダー情報を更新。
Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.