Apache HTTP Server v2 Causes a DoS When Parsing a Type-Map File

SNS Advisory No.66

Problem first discovered on: 26 Dec 2002
Published on: 9 Jul 2003

概要

Apache 2.0.47未満のバージョンには、ローカルの攻撃者がシステムをDoS状態に陥らせることのできる問題があります。

Apache HTTPサーバのバージョン2に実装されているコンテントネゴシエーション機能は、Webブラウザから提供されたメディアタイプや言語、文字セット、エンコーディングの優先傾向に基づき、最適のリソースを提供することができます。

このリソースのネゴシエーションに用いられる方法のひとつとして、type-mapファイルを使用することができます。

ローカルの攻撃者は無限ループを引き起こすtype-mapファイルを設置したのちに、このファイルをApache HTTPサーバのプロセスに解釈させることで、システムのリソースを消費し尽くさせることが可能です。結果として、ローカルの攻撃者はシステムをDoS状態に陥らせることができます。

Apache 2.0.43
Apache 2.0.44
Apache 2.0.45
Apache 2.0.46

Apache 2.0.47へアップグレードを行うことでこの問題を解消することができます。

The Apache HTTP Server Project

山崎圭吾

謝辞：

Apache Software Foundation

CERT Coordination Center

JPCERT Coordination Center

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ