第12-02-238号
最終更新日:2012年1月12日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
ウェブアプリケーション等で使用されている言語 (PHP, Ruby 等) やウェブアプリケーションフレームワーク (Apache Tomcat 等) のハッシュテーブルの実装方法に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。この脆弱性が悪用されると、運用中のウェブサービスを提供できなくなるなどの被害にあう可能性があります。
攻撃に悪用可能な情報が公開されているため、至急、アップデートを実施して下さい。
対象
・Apache Tomcat
- Apache Tomcat 7.0.22 およびそれ以前のすべてのバージョン
- Apache Tomcat 6.0.34 およびそれ以前のすべてのバージョン
- Apache Tomcat 5.5.34 およびそれ以前のすべてのバージョン
- Ruby 1.8.7-p352 およびそれ以前のすべてのバージョン
- Microsoft .NET Framework 1.1 Service Pack 1
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.5 Service Pack 1
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.0
- PHP 5.3.8 およびそれ以前のすべてのバージョン
対策
導入している言語、フレームワークそれぞれで対策をしてください。
1. 脆弱性の解消 - アップデートの実施 -
・Apache Tomcat
次のページより、最新の Apache Tomcat をダウンロードし、アップデートを実施してください。
- Tomcat 6 Downloads
http://tomcat.apache.org/download-60.cgi - Tomcat 7 Downloads
http://tomcat.apache.org/download-70.cgi
次のページより、最新のRubyをダウンロードし、アップデートを実施してください。
・Microsoft .NET Framework
日本マイクロソフト社から提供されている修正プログラムを適用して下さい。
修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。
- Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/
Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx
なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。
- 個別の修正プログラムをダウンロードしてインストールする方法
下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-100
次のページより、最新のPHPをダウンロードし、アップデートを実施してください。
2.回避策 -
以下の回避策を実施することで、本脆弱性の影響を緩和することが可能です。
- リクエストごとの処理時間を制限する
- POST リクエストのサイズを制限する
- リクエストごとのパラメータ数を制限する
参考情報
-
JVN
http://jvn.jp/cert/JVNVU903934/index.html -
JVN iPedia
http://jvndb.jvn.jp/jvndb/JVNDB-2011-003560
http://jvndb.jvn.jp/jvndb/JVNDB-2011-003563
http://jvndb.jvn.jp/jvndb/JVNDB-2011-003565
http://jvndb.jvn.jp/jvndb/JVNDB-2012-001003
-
US-CERT
http://www.kb.cert.org/vuls/id/903934 -
oCERT.org
http://www.ocert.org/advisories/ocert-2011-003.html -
CVE
CVE-2011-3414
CVE-2011-4815
CVE-2011-4858
CVE-2011-4885
更新履歴
2012年1月12日 | PHPの対策情報を追加 |
---|---|
2012年1月6日 | 掲載 |