blob: e4f6b18d6789ecd095430ab7a2c28fc4e4984eb2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
#use wml::debian::translation-check translation="4e24061190d31f80509d49a1aaf22333a7c0f957"
<define-tag description>リモートからの攻撃</define-tag>
<define-tag moreinfo>
Debian の安定版のディストリビューションに含まれる `apache' パッケージ
には <a href="http://www.securityfocus.com/vdb/bottom.html?vid=2503">SecurityFocus</a>
で詳細に記述されている「人工的に作成されたスラッシュが長く連続するパスリストに関する弱点」があるという報告がありました。
<p>この弱点は Dan Harkless さんにより bugtraq に報告されたものです。
<p>この弱点についての SecurityFocus の解説から引用します。
<blockquote>
<p>パッケージに問題があり、ディレクトリ表示とパス探索を許してしまっています。
標準設定下では apache は mod_dir、mod_autoindex、mod_autoindex と
mod_negotiation を有効にしていますが、apache
サーバに対して特別に作成した人工的に作成した多数のスラッシュからなるリクエストを与えることにより、
これらのモジュールを誤動作させ、エラーページを回避してディレクトリの内容のリストを表示させることができます。
<p>この弱点を使って悪意を持ったリモートのユーザが情報を抜き取る攻撃を行うことができますし、
これはシステムに対する攻撃につながるかもしれません。
この脆弱性は、Apache のバージョン 1.3.19 以前のものすべてにあります。
</blockquote>
<p>この問題は apache-ssl 1.3.9-13.3 と apache 1.3.9-14
で修正されており、すぐにパッケージをアップグレードすることを薦めます。</p>
<p>注意: .dsc 記載と .diff.gz ファイルの MD5Sum は不整合です。
これはこの二ファイルが安定版から事後にコピーされたためです。
.diff.gz の内容が同じであることのチェックは、なされています。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-067.data"
|
