サイト内の現在位置を表示しています。

Apache HTTP Serverのenvvarsにおける権限を取得される脆弱性

掲載番号:NV14-006
脆弱性情報識別番号:CVE-2012-0883

概要

Apache HTTP Serverのenvvarsファイルには、LD_LIBRARY_PATH環境変数を適切に処理していないため、DSO(Dynamic Shared Object)の検索パスにカレントディレクトリを含めることができる脆弱性が存在します。ローカルユーザにより、apachectlコマンドの実行中に、LD_LIBRARY_PATHに長さゼロのディレクトリ名を配置することで、カレントディレクトリ内にあるトロイの木馬のDSOを介して、権限を奪取される可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/FAQナビ:全バージョン
CSVIEW/Webアンケート:全バージョン

対処方法

[対策]
Apache httpd をバージョンアップしてください。
バージョンアップ手順につきましては保守契約者様用の問い合わせ窓口までお問い合わせ下さい。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

以下のバージョンで製品に含まれるApache HTTP Server 2.2.23未満をご利用の場合は影響があります。
  • WebOTX Application Server Express V8.2 ~ V8.5
  • WebOTX Application Server Foundation V8.2 ~ V8.5
  • WebOTX Application Server Standard V8.2 ~ V8.5
  • WebOTX Application Server Enterprise V8.2 ~ V8.5
  • WebOTX Enterprise Service Bus V8.2 ~ V8.5
  • WebOTX Portal V8.2 ~ V8.4

対処方法

[対策]
パッチモジュールを公開しています。

参考情報

JVN iPedia JVNDB-2012-002094:
Apache HTTP Server の envvars における権限を取得される脆弱性

CVE-2012-0883:

更新情報