IHS 1.3, 2.0, 6.0の複数の脆弱性(CAN-2005-2088, 2491, 2728, 2970)

IHS 1.3, 2.0, 6.0において、複数のセキュリティーの脆弱性が報告されています。
この脆弱性に対応するには、修正プログラムを適用してください。

IBM HTTP Server(以下IHS) 1.3, 2.0, 6.0において、下記の複数のセキュリティーの脆弱性が報告されています。この脆弱性に対応するには、下記［対応方法］の修正プログラムを適用してください。

【IHS 2.0, 6.0に該当する脆弱性】

• CAN-2005-2088
  HTTP Proxyを使用している場合、悪意のあるHTTPリクエストの送信により、HTTPリクエストの分割による攻撃や偽装が行われるApache 2.0と1.3の脆弱性
  尚、この脆弱性はIHSをProxy構成にして使用している場合のみ該当します。デフォルトでは、IHSのProxy関連は未構成です。（httpd.conf構成ファイルにおいて、mod_proxyモジュールを有効にしている場合のみこの脆弱性に該当します。）
• CAN-2005-2491
  Apache 2.0で使用しているPerl互換正規表現（PCRE）の欠陥により、バッファーオーバーフローが引き起こされる脆弱性
• CAN-2005-2728
  Apache 2.0で使用しているbyte-rangeフィルターの欠陥により、悪意のあるリクエストにより、DoS攻撃を引き起こされる脆弱性
• CAN-2005-2970
  特殊な状況における接続の中断で、worker MPMでメモリーリークが発生するApache 2.0の脆弱性

【IHS 1.3に該当する脆弱性】

• CAN-2005-2088
  内容は同上です。

尚、CAN-2005-1268のmod_sslの脆弱性は、いずれのバージョンのIHSにも該当しません。

CAN-2005-2088, 2491, 2728, 2970の4つの脆弱性に該当する製品とCAN-2005-2088のみに該当する製品があります。

CAN-2005-2088, 2491, 2728, 2970の4つの脆弱性に該当する製品
IBM HTTP Server 2.0.x
IBM HTTP Server 6.0.0.x, 6.0.1.x, 6.0.2.0, 6.0.2.1, 6.0.2.2
（Apache 2.0.55より古いリリースをベースにしているIHSが該当します）

CAN-2005-2088の脆弱性のみに該当する製品
IBM HTTP Server 1.3.x
（Apache 1.3.34より古いリリースをベースにしているIHSが該当します）

IHSのバージョンの確認方法は以下の通りです。

AIXや他のUnix、Linuxの場合
IHSのインストールディレクトリ/binでapachectl -vを実行。
[/usr/IHS/bin]./apachectl -v
Server version: IBM_HTTP_SERVER/2.0.47 Apache/2.0.47
Server built: Oct 10 2003 11:33:10
(IHS 1.3.*の場合は、　httpd -v　でバージョンを確認できます。)
Windowsの場合
IHSのインストールディレクトリ/binでapache -vを実行。
>apache -v
Server version: IBM_HTTP_SERVER/6.0.2 Apache/2.0.47
Server built: May 11 2005 17:32:46

IHS 1.3.xの場合
修正コードPK13959を含んだ最新の累積修正プログラム（PK16139）をダウンロードし、適用してください。修正プログラムの入手先は以下になります。（2006年7月26日現在）

http://www-1.ibm.com/support/docview.wss?uid=swg24011600(US)

補足1) 最新のIHSの累積修正プログラムの情報は以下のWebページで確認可能ですので、最新の累積修正プログラムをご利用ください。

http://www-1.ibm.com/support/docview.wss?uid=swg27005198(US)

補足2) サポート期間を終了しているWAS 4.0において標準で使用されているIHS 1.3.19もこの脆弱性に該当しますが、IHS1.3.19の修正プログラムの提供はありません。
WASv4.0.2-4.0.7ではプラグインを更新することで、IHS 1.3.26およびIHS 2.0.42での動作がサポートされていますので、IHS 1.3.26、またはIHS 2.0.42に置き換えることで対応が可能となります。

http://publib.boulder.ibm.com/infocenter/wasinfo/v4r0/index.jsp?
topic=/com.ibm.support.was40.doc/html/Plug_in/swg21108347.html(US)

IHS 2.0.xの場合
修正プログラムPK13230を含んだ最新の累積修正プログラム（PK25355）をダウンロードし、適用してください。(2006年07月26日現在）

http://www-1.ibm.com/support/docview.wss?rs=177&uid=swg24012511(US)

補足1) 最新のIHSの累積修正プログラムの情報は以下のWebページで確認可能ですので、最新の累積修正プログラムをご利用ください。

http://www-1.ibm.com/support/docview.wss?uid=swg27005198

IHS 6.0.xの場合
最新の修正プログラム6.0.2.11をダウンロードし、適用してください。(2006年07月26日現在）

http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24012484(US)

補足1） CAN-2005-2088の脆弱性の修正は、修正プログラム6.0.2.1に含まれ、その他3つの脆弱性の修正は、修正プログラム6.0.2.3に含まれています。（6.0.2.11に6.0.2.1、6.0.2.3の修正はすべて含まれますので、6.0.2.11のみを適用することによって4つの脆弱性にすべて対応できます。）

補足2)最新のIHSの累積修正プログラムの情報は以下のWebページで確認可能ですので、最新の累積修正プログラムをご利用ください。

http://www-1.ibm.com/support/docview.wss?uid=swg27005198(US)

PAテクニカルサポート総合窓口
（有効なメンテナンス契約IBM番号をお持ちのお客様）
電話：0120-557-971
受付時間：月曜日～金曜日 9時～17時（祝日、12月30日～1月3日を除く）

上に戻る