SNS Advisory No.66
Apache HTTP Server v2 Causes a DoS When Parsing a Type-Map File

Problem first discovered on: 26 Dec 2002
Published on: 9 Jul 2003  

概要：
Apache 2.0.47未満のバージョンには、ローカルの攻撃者がシステムをDoS状態に陥らせることのできる問題があります。

問題：
Apache HTTPサーバのバージョン2に実装されているコンテントネゴシエーション機能は、Webブラウザから提供されたメディアタイプや言語、文字セット、エンコーディングの優先傾向に基づき、最適のリソースを提供することができます。

このリソースのネゴシエーションに用いられる方法のひとつとして、type-mapファイルを使用することができます。

ローカルの攻撃者は無限ループを引き起こすtype-mapファイルを設置したのちに、このファイルをApache HTTPサーバのプロセスに解釈させることで、システムのリソースを消費し尽くさせることが可能です。結果として、ローカルの攻撃者はシステムをDoS状態に陥らせることができます。

問題を確認したバージョン：
Apache 2.0.43
Apache 2.0.44
Apache 2.0.45
Apache 2.0.46

対策：
Apache 2.0.47へアップグレードを行うことでこの問題を解消することができます。

The Apache HTTP Server Project
http://httpd.apache.org/

発見者：
山崎 圭吾

謝辞：
Apache Software Foundation
http://www.apache.org/

CERT Coordination Center
http://www.cert.org/

JPCERT Coordination Center
http://www.jpcert.or.jp/

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/66.html