ソフトウエア製品脆弱性関連情報届出様式
2007年6月1日

                                         独立行政法人 情報処理推進機構
                                                  セキュリティセンター


  この届出様式は、ソフトウエア等に関する脆弱性関連情報を独立行政法人情
報処理推進機構（IPA）に届け出る際に、届出者の方に使用していただくもの
です。円滑な取扱いのために、ご協力をお願いいたします。

  届出に際しては、「ソフトウエア製品脆弱性関連情報届出様式の記入の手引き」
をご一読ください。
http://www.ipa.go.jp/security/vuln/report/guide.txt

======================================================================

    2007年  6月  1日

0. 取扱い方針

■ 脆弱関連情報の取扱いプロセスに則り、脆弱性関連情報を取扱うことへの
   了解

     ※ こちらにチェックがない場合はお取扱いいたしかねます。



1. 届出者情報

  1) 届出者情報
    住所（都道府県）：東京都
    所属：IPA セキュリティセンター
    氏名*：IPA 太郎
    電子メールアドレス*：foo@ipa.go.jp
    TEL：
    FAX：

    ・届出者情報については、* があるものは必須項目です。
    ・電子メールアドレスがない場合、TEL、FAX のどちらかで必ず連絡が取
      れる情報を記入してください。


  2) 届出者情報の取り扱いについて
     ■ 届出者情報を製品開発者に知らせても良い（調整機関経由になります）
     □ 届出者情報を製品開発者には知らせず、すべてのやりとりを IPAとのみ
        行う（調整機関にも伝わりません）

  3) 対策情報公表時の謝辞への届出者名の記載について
      3-1) JVNでの記載
        ■ 記載しても良い        □ 記載して欲しくない

      3-2) 製品開発者サイトでの記載
        ■ 記載しても良い       □ 記載して欲しくない

  記載しても良い場合は、記載する情報を記入してください（日本語、英語）
    所属：IPA セキュリティセンター、IPA Securty Center
    氏名：IPA 太郎、Taro IPA

2. 脆弱性関連情報

  1) この脆弱性関連情報の入手先
     ■ 自分で発見した    □ 人から入手した  
     □ ウェブサイトから入手した（URL：                           ）


  2) 脆弱性を確認したソフトウエア等に関する情報
     名称：FoobarbazWebServer
     バージョン：1.097.373.156 (rydberg)
     パッチレベル：
     言語：
     設定情報：標準インストール直後の設定

     製作者: foobarbaz
     ウェブ: http://foobarbuz.example.jp

     ※ パッチレベルについては、マイナーバージョンや適用されたパッチに
        対する情報、あるいはサービスパックやホットフィックス等の情報を
        含みます。

  3) 脆弱性の種類
サーバが異常終了します。

  4) 再現手順
FoobarbazWebServer に対して特定のリクエストを送信した場合、バッファ
オーバーフローが発生し、サーバが異常終了しプロセスが停止します。任意の
コードが実行可能かどうかはわかりません。

リクエストに関しては、以下の条件を満たす必要があります。

  1. メソッドが PUT
  2. 1024 octet 以上の長さの引数

  5) 再現の状況
     ■ 常に    □ 時々    □ まれに
     補足説明（バージョンによる、言語による、などを記入）
       Version 1.054.571.596 (dirac) で再現せず。
       Version 1.097.373.156 (rydberg) で確認。

  6) 脆弱性により発生しうる脅威
攻撃者が意図的なコードを含む PUT リクエストを送信する事により、対象の
サーバを停止させたり、FoobarbazWebServer の権限で任意のコードを実行で
きる可能性があります。

  7) 回避策
別のフィルタリングソフトウエアにて、リクエストが FoobarbazWebServr に
到達する以前に PUT メソッドをフィルタリングする。

  8) 検証コード
添付しました。

  9) その他
この問題を悪用された場合、サーバの停止だけでなくサーバを含むシステム全
体のセキュリティに対する侵害となる可能性があるため、早急な対応が必要と
考えます。



3. 当該ソフトウエアの海外での利用状況について

     □ 海外で開発されたソフトウエアである
     ■ 国内で開発されたソフトウエアであるが、他のソフトウエアに組み
        込まれ、海外で配布/販売されている
     □ 国内で開発されたソフトウエアであるが、海外で配布/販売されて
        いる
     □ 国内で開発されたソフトウエアであり、海外で配布/販売されてい
        るかどうかは不明である。
     □ その他（                                                   ）



4. IPA 以外の組織への届出について
     □ あり    ■ なし    
     届出年月日：
     届出番号：
     届出先、窓口担当者：
     窓口メールアドレス：
     窓口電話番号：



5. 今後の連絡について

  1) IPA からの連絡における暗号化
     ■ 希望する        □ 希望しない
     ※希望する場合は、公開鍵を添付してください。



6. その他
特になし


=====================================================================