HOME情報セキュリティ緊急対策情報PHP, Tomcat などを利用して開発されたウェブアプリケーションにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2011-4885等)

本文を印刷する

情報セキュリティ

PHP, Tomcat などを利用して開発されたウェブアプリケーションにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2011-4885等)

第12-02-238号

最終更新日:2012年1月12日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

ウェブアプリケーション等で使用されている言語 (PHP, Ruby 等) やウェブアプリケーションフレームワーク (Apache Tomcat 等) のハッシュテーブルの実装方法に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。この脆弱性が悪用されると、運用中のウェブサービスを提供できなくなるなどの被害にあう可能性があります。

攻撃に悪用可能な情報が公開されているため、至急、アップデートを実施して下さい。

対象

・Apache Tomcat
  • Apache Tomcat 7.0.22 およびそれ以前のすべてのバージョン
  • Apache Tomcat 6.0.34 およびそれ以前のすべてのバージョン
  • Apache Tomcat 5.5.34 およびそれ以前のすべてのバージョン
・Ruby
  • Ruby 1.8.7-p352 およびそれ以前のすべてのバージョン
・Microsoft .NET Framework
  • Microsoft .NET Framework 1.1 Service Pack 1
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5.1
  • Microsoft .NET Framework 4.0
・PHP
  • PHP 5.3.8 およびそれ以前のすべてのバージョン

対策

導入している言語、フレームワークそれぞれで対策をしてください。

1. 脆弱性の解消 - アップデートの実施 -

 ・Apache Tomcat
  次のページより、最新の Apache Tomcat をダウンロードし、アップデートを実施してください。

 ・Ruby
  次のページより、最新のRubyをダウンロードし、アップデートを実施してください。

 ・Microsoft .NET Framework
  日本マイクロソフト社から提供されている修正プログラムを適用して下さい。 修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

  • Microsoft Update による一括修正方法
    Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
    http://windowsupdate.microsoft.com/

    Microsoft Update の利用方法については以下のサイトを参照してください。
    http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx
    なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。
 ・PHP
  次のページより、最新のPHPをダウンロードし、アップデートを実施してください。

2.回避策 -

 以下の回避策を実施することで、本脆弱性の影響を緩和することが可能です。

  • リクエストごとの処理時間を制限する
  • POST リクエストのサイズを制限する
  • リクエストごとのパラメータ数を制限する

参考情報

更新履歴

2012年1月12日 PHPの対策情報を追加
2012年1月6日 掲載