本文へジャンプ

重要セキュリティー情報 > 

IHS 1.3, 2.0, 6.0の複数の脆弱性(CAN-2005-2088, 2491, 2728, 2970)
2005年11月1日 (※2006年07月28日更新)

IHS 1.3, 2.0, 6.0において、複数のセキュリティーの脆弱性が報告されています。
この脆弱性に対応するには、修正プログラムを適用してください。


現象

IBM HTTP Server(以下IHS) 1.3, 2.0, 6.0において、下記の複数のセキュリティーの脆弱性が報告されています。この脆弱性に対応するには、下記[対応方法]の修正プログラムを適用してください。

【IHS 2.0, 6.0に該当する脆弱性】
  • CAN-2005-2088
    HTTP Proxyを使用している場合、悪意のあるHTTPリクエストの送信により、HTTPリクエストの分割による攻撃や偽装が行われるApache 2.0と1.3の脆弱性
    尚、この脆弱性はIHSをProxy構成にして使用している場合のみ該当します。デフォルトでは、IHSのProxy関連は未構成です。(httpd.conf構成ファイルにおいて、mod_proxyモジュールを有効にしている場合のみこの脆弱性に該当します。)
  • CAN-2005-2491
    Apache 2.0で使用しているPerl互換正規表現(PCRE)の欠陥により、バッファーオーバーフローが引き起こされる脆弱性
  • CAN-2005-2728
    Apache 2.0で使用しているbyte-rangeフィルターの欠陥により、悪意のあるリクエストにより、DoS攻撃を引き起こされる脆弱性
  • CAN-2005-2970
    特殊な状況における接続の中断で、worker MPMでメモリーリークが発生するApache 2.0の脆弱性

【IHS 1.3に該当する脆弱性】
  • CAN-2005-2088
    内容は同上です。

尚、CAN-2005-1268のmod_sslの脆弱性は、いずれのバージョンのIHSにも該当しません。


対象製品

CAN-2005-2088, 2491, 2728, 2970の4つの脆弱性に該当する製品とCAN-2005-2088のみに該当する製品があります。

CAN-2005-2088, 2491, 2728, 2970の4つの脆弱性に該当する製品
IBM HTTP Server 2.0.x
IBM HTTP Server 6.0.0.x, 6.0.1.x, 6.0.2.0, 6.0.2.1, 6.0.2.2
(Apache 2.0.55より古いリリースをベースにしているIHSが該当します)

CAN-2005-2088の脆弱性のみに該当する製品
IBM HTTP Server 1.3.x
(Apache 1.3.34より古いリリースをベースにしているIHSが該当します)


確認方法

IHSのバージョンの確認方法は以下の通りです。

AIXや他のUnix、Linuxの場合
IHSのインストールディレクトリ/binでapachectl -vを実行。
[/usr/IHS/bin]./apachectl -v
Server version: IBM_HTTP_SERVER/2.0.47 Apache/2.0.47
Server built: Oct 10 2003 11:33:10
(IHS 1.3.*の場合は、 httpd -v でバージョンを確認できます。)
 
Windowsの場合
IHSのインストールディレクトリ/binでapache -vを実行。
>apache -v
Server version: IBM_HTTP_SERVER/6.0.2 Apache/2.0.47
Server built: May 11 2005 17:32:46

対応方法

IHS 1.3.xの場合
修正コードPK13959を含んだ最新の累積修正プログラム(PK16139)をダウンロードし、適用してください。修正プログラムの入手先は以下になります。(2006/7/26現在)

http://www-1.ibm.com/support/docview.wss?uid=swg24011600

補足1)  最新のIHSの累積修正プログラムの情報は以下のWebページで確認可能ですので、最新の累積修正プログラムをご利用ください。
http://www-1.ibm.com/support/docview.wss?uid=swg27005198
補足2)  サポート期間を終了しているWAS 4.0において標準で使用されているIHS 1.3.19もこの脆弱性に該当しますが、IHS1.3.19の修正プログラムの提供はありません。
WASv4.0.2-4.0.7ではプラグインを更新することで、IHS 1.3.26およびIHS 2.0.42での動作がサポートされていますので、IHS 1.3.26、またはIHS 2.0.42に置き換えることで対応が可能となります。
http://publib.boulder.ibm.com/infocenter/wasinfo/v4r0/index.jsp?topic=/com.ibm.support.was40.doc/html/Plug_in/swg21108347.html


IHS 2.0.xの場合
修正プログラムPK13230を含んだ最新の累積修正プログラム(PK25355)をダウンロードし、適用してください。(2006/07/26現在)

http://www-1.ibm.com/support/docview.wss?rs=177&uid=swg24012511

補足1)  最新のIHSの累積修正プログラムの情報は以下のWebページで確認可能ですので、最新の累積修正プログラムをご利用ください。
http://www-1.ibm.com/support/docview.wss?uid=swg27005198


IHS 6.0.xの場合
最新の修正プログラム6.0.2.11をダウンロードし、適用してください。(2006/07/26現在)

http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24012484

補足1)  CAN-2005-2088の脆弱性の修正は、修正プログラム6.0.2.1に含まれ、その他3つの脆弱性の修正は、修正プログラム6.0.2.3に含まれています。(6.0.2.11に6.0.2.1、6.0.2.3の修正はすべて含まれますので、6.0.2.11のみを適用することによって4つの脆弱性にすべて対応できます。)
補足2)  最新のIHSの累積修正プログラムの情報は以下のWebページで確認可能ですので、最新の累積修正プログラムをご利用ください。
http://www-1.ibm.com/support/docview.wss?uid=swg27005198

お問合せ先

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)


更新履歴: (2006年7月28日)IHS 1.3.x用の修正プログラム(PK13595)を含む累積修正プログラム(PK16139)のダウンロード先を追加しました。
(2005年12月2日)この脆弱性が該当するProxy構成について説明を追加しました

上に戻る