Japan
サイト内の現在位置を表示しています。
Apache HTTP Serverのenvvarsにおける権限を取得される脆弱性
掲載番号:NV14-006
脆弱性情報識別番号:CVE-2012-0883
概要
Apache HTTP Serverのenvvarsファイルには、LD_LIBRARY_PATH環境変数を適切に処理していないため、DSO(Dynamic Shared Object)の検索パスにカレントディレクトリを含めることができる脆弱性が存在します。ローカルユーザにより、apachectlコマンドの実行中に、LD_LIBRARY_PATHに長さゼロのディレクトリ名を配置することで、カレントディレクトリ内にあるトロイの木馬のDSOを介して、権限を奪取される可能性があります。
対象製品
CSVIEW
影響の有無
影響あり
対象となる製品のバージョン
CSVIEW/FAQナビ:全バージョン
CSVIEW/Webアンケート:全バージョン
対処方法
[対策]
Apache httpd をバージョンアップしてください。
バージョンアップ手順につきましては保守契約者様用の問い合わせ窓口までお問い合わせ下さい。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
以下のバージョンで製品に含まれるApache HTTP Server 2.2.23未満をご利用の場合は影響があります。
- WebOTX Application Server Express V8.2 ~ V8.5
- WebOTX Application Server Foundation V8.2 ~ V8.5
- WebOTX Application Server Standard V8.2 ~ V8.5
- WebOTX Application Server Enterprise V8.2 ~ V8.5
- WebOTX Enterprise Service Bus V8.2 ~ V8.5
- WebOTX Portal V8.2 ~ V8.4
対処方法
[対策]
パッチモジュールを公開しています。
以下のURLを参照ください。
WebOTX V8.4
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290
WebOTX V8.2, V8.3
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287
WebOTX V8.4
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290
WebOTX V8.2, V8.3
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287
参考情報
JVN iPedia JVNDB-2012-002094:
Apache HTTP Server の envvars における権限を取得される脆弱性
CVE-2012-0883:
更新情報
- 2016/07/08
- 2014/06/02