Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache HTTPDサーバにサービス運用妨害(DoS)の脆弱性

掲載番号:NV11-005
脆弱性情報識別番号:VU#405811

概要

Apache HTTPDサーバには、Rangeヘッダおよび Request-Rangeヘッダの処理に問題があり、サービス運用妨害(DoS)の脆弱性が存在します。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/Webアンケート 全バージョン
CSVIEW/FAQナビ 全バージョン

対処方法

ご利用のバージョンを確認し、該当バージョンの対応方法を実施してください。

<CSVIEW/Webアンケート>
1.CSVIEW/WebアンケートV2~V4の場合

[更新対象ファイル]
/esatg/config/httpd_front.conf
/esatg/config/httpd_manage.conf
/esatg/config/ssl_front.conf
/esatg/config/ssl_manage.conf
[設定方法]
(1) httpd_front.conf と httpd_manage.conf の下記のコメント(#)を外します。
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule headers_module modules/mod_headers.so
(2) httpd_front.conf と httpd_mange.conf は、ファイルの末尾に下記の<IfModule mod_rewrite.c>から</IfModule>までを記述します。
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]
RequestHeader unset Request-Range
</IfModule>
(3) ssl_front.conf, ssl_manage.conf は、ファイルの末尾の</VirtualHost>の前に記述します。
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]
RequestHeader unset Request-Range
</IfModule>
</VirtualHost>
(4) ファイル更新後は、gracefulによるApacheの再起動を行ってください。

2.CSVIEW/WebアンケートV5の場合
Redhat社から提供されている下記のセキュリティパッチを適用してください。

<CSVIEW/FAQナビ>
1.CSVIEW/FAQナビV2~V5.2の場合
インストールマニュアルを参照し、公開系と管理系のApacheの各コンフィグレーションファイルについて下記の編集を行います。

(1) ロードモジュールの定義を追加します。
既に記述済みでコメントアウトされている場合は、コメントを外してください
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule headers_module modules/mod_headers.so
(2) リライトのルールを追加します。
各コンフィグレーションファイルの末尾に下記の<IfModule mod_rewrite.c>から</IfModule>までを記述します。
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]
RequestHeader unset Request-Range
</IfModule>
(3) ファイル更新後は、Apacheの再起動を行ってください。

2.CSVIEW/FAQナビV5.3の場合
Apacheの公式サイトよりApache2.2.21のWin32 Binary including OpenSSL 0.9.8r (MSI Installer)「httpd-2.2.21-win32-x86-openssl-0.9.8r.msi」を入手してください。

インストールされている Apache をアンインストール後、 Apache2.2.21 のインストールを行ってください。
Apacheの再インストールを行った場合でも、コンフィグレーションファイルの内容は引き継がれます。

PASOLINK NMS

本脆弱性情報につきましては、既に弊社担当者からお客様へのご連絡を開始しておりますが、お客様に確実に情報をご連絡するために、改めて本ページに公開いたします。

影響の有無

影響あり

対象となる製品のバージョン

PNMSj 全バージョン

PNMSjの動作環境が次の製品・バージョンの場合に影響があります。
製品 バージョン
Oracle Fusion Middleware 11g Release 1 version 11.1.1.3.0
version 11.1.1.4.0
version 11.1.1.5.0
Oracle Application Server 10g Release 3 version 10.1.3.5.0 *
Oracle Application Server 10g Release 2 version 10.1.2.3.0 *
*Application Server Companion CDからOracle HTTP Server 10gをインストールした場合のみ影響があります。

対処方法

PNMSjの動作環境を最新版にバージョンアップしてください。

※2011年9月15日時点のOracle社の勧告は以下のURLを参照ください。

Oracle Security Alert for CVE-2011-3192

参考情報

Japan Vulnerability Notes JVNVU#405811:
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性

US-CERT VU#405811:
Apache HTTPD 1.3/2.x Range header DoS vulnerability

CVE CVE-2011-3192:

CSVIEW/Webアンケート

CSVIEW/FAQナビ

更新情報

2013/10/22
PASOLINK NMSを追加しました。
2011/09/29
CSVIEWを登録しました。