Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Apache HTTP Serverのenvvarsにおける権限を取得される脆弱性

掲載番号:NV14-006
脆弱性情報識別番号:CVE-2012-0883

概要

Apache HTTP Serverのenvvarsファイルには、LD_LIBRARY_PATH環境変数を適切に処理していないため、DSO(Dynamic Shared Object)の検索パスにカレントディレクトリを含めることができる脆弱性が存在します。

ローカルユーザにより、apachectlコマンドの実行中に、LD_LIBRARY_PATHに長さゼロのディレクトリ名を配置することで、カレントディレクトリ内にあるトロイの木馬のDSOを介して、権限を奪取される可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/FAQナビ：全バージョン

CSVIEW/Webアンケート：全バージョン

対処方法

[対策]

Apache httpd をバージョンアップしてください。

バージョンアップ手順につきましては保守契約者様用の問い合わせ窓口までお問い合わせ下さい。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

以下のバージョンで製品に含まれるApache HTTP Server 2.2.23未満をご利用の場合は影響があります。

WebOTX Application Server Express V8.2 ～ V8.5
WebOTX Application Server Foundation V8.2 ～ V8.5
WebOTX Application Server Standard V8.2 ～ V8.5
WebOTX Application Server Enterprise V8.2 ～ V8.5
WebOTX Enterprise Service Bus V8.2 ～ V8.5
WebOTX Portal V8.2 ～ V8.4

対処方法

[対策]

パッチモジュールを公開しています。

以下のURLを参照ください。

WebOTX V8.4
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290

WebOTX V8.2, V8.3
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287

参考情報

JVN iPedia JVNDB-2012-002094:

Apache HTTP Server の envvars における権限を取得される脆弱性

http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-002094.html

CVE-2012-0883:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0883

更新情報

2016/07/08: WebOTXを登録しました。
2014/06/02: CSVIEWを登録しました。