Medium
Medium
アドバイザリーID : Cisco-SA-20130711-CVE-2013-1896
初公開日 : 2013-07-11 17:33
最終更新日 : 2013-09-26 16:07
バージョン 8.0 : Final
CVSSスコア :
0.0
回避策 : No Workarounds available
Cisco バグ ID :
CSCui67116
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Apache HTTPサーバの
mod_dav コンポーネントの脆弱性はリモート攻撃者非認証によりサービス拒否 (DoS)状態を引き起こすようにする可能性があります。
脆弱性は URI 要求を処理している間ユーザが指定する入力の不十分な検証が原因です。 攻撃者はターゲットのシステムへ巧妙に細工された URI 要求を送信することによって脆弱性を不正利用する可能性があります。 正常なエクスプロイトは攻撃者により DoS 状態を引き起こすことを可能にする可能性があります。
Apache は脆弱性およびリリースされたソフトウェア アップデートを確認しました。
脆弱性を不正利用するために、攻撃者はターゲットのシステムに巧妙に細工された 要求を送信できるために信頼されるに必要としますアクセスを、内部ネットワーク。 このアクセス 要件は正常なエクスプロイトの確率を制限するかもしれません。
脆弱性は URI 要求を処理している間ユーザが指定する入力の不十分な検証が原因です。 攻撃者はターゲットのシステムへ巧妙に細工された URI 要求を送信することによって脆弱性を不正利用する可能性があります。 正常なエクスプロイトは攻撃者により DoS 状態を引き起こすことを可能にする可能性があります。
Apache は脆弱性およびリリースされたソフトウェア アップデートを確認しました。
脆弱性を不正利用するために、攻撃者はターゲットのシステムに巧妙に細工された 要求を送信できるために信頼されるに必要としますアクセスを、内部ネットワーク。 このアクセス 要件は正常なエクスプロイトの確率を制限するかもしれません。
該当製品
Apache は次のリンクで changelogs をリリースしました:
Apache HTTPサーバ 2.2.25
および Apache HTTPサーバ 2.4.6
FreeBSD は次のリンクで VuXML 文書を発表しました: apache24 ---- 複数の脆弱性
HP は次のリンクでセキュリティ情報 c03922406 を発表しました: HPSBUX02927 SSRT101288
Oracle は次のリンクで Security Advisory をリリースしました: CVE-2013-1896
Red Hat は次のリンクで不具合 983549 のための公式 CVE 文および Security Advisory をリリースしました: CVE-2013-1896、RHSA-2013:1133、RHSA-2013:1134、 RHSA-2013:1156、 RHSA-2013:1207、RHSA-2013:1208 および RHSA-2013:1209
FreeBSD は次のリンクで VuXML 文書を発表しました: apache24 ---- 複数の脆弱性
HP は次のリンクでセキュリティ情報 c03922406 を発表しました: HPSBUX02927 SSRT101288
Oracle は次のリンクで Security Advisory をリリースしました: CVE-2013-1896
Red Hat は次のリンクで不具合 983549 のための公式 CVE 文および Security Advisory をリリースしました: CVE-2013-1896、RHSA-2013:1133、RHSA-2013:1134、 RHSA-2013:1156、 RHSA-2013:1207、RHSA-2013:1208 および RHSA-2013:1209
脆弱性のある製品
2.2.25 と
2.4.6 以前の Apache HTTPサーバ バージョンは脆弱です。
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
回避策
管理者は適切な更新を加えるように助言されます。
管理者は信頼されたユーザだけネットワーク アクセスをアクセスできることを許可するために助言されます。
管理者は信頼された システムだけ影響を受けたシステムにアクセスするように IPベース アクセス コントロール リスト(ACL)を使用することを考えるかもしれません。
管理者は信頼されたユーザだけネットワーク アクセスをアクセスできることを許可するために助言されます。
管理者は信頼された システムだけ影響を受けたシステムにアクセスするように IPベース アクセス コントロール リスト(ACL)を使用することを考えるかもしれません。
修正済みソフトウェア
Apache は次のリンクで更新バージョンをリリースしました:
次のリンクの FreeBSD リリース ポート 収集更新: ポート コレクションインデックス
HP は次のリンクでソフトウェア アップデートをリリースしました: Apache v2.2.15.16 が含まれている HP-UX Webサーバ スイート v3.28
Oracle は次のリンクで登録ユーザ向けのパッチをリリースしました: Solaris 11.1 11.1.11.4.0
Red Hat は次のリンクで登録済みのサブスクライバのための更新済ソフトウェアをリリースしました: Red Hat ネットワーク。 Red Hat パッケージは yum ツールを使用して Red Hat Enterprise Linux バージョン 5 および それ 以降でアップデートすることができます。
CentOS パッケージはまたは yum コマンド up2date を使用して更新済である場合もあります。
次のリンクの FreeBSD リリース ポート 収集更新: ポート コレクションインデックス
HP は次のリンクでソフトウェア アップデートをリリースしました: Apache v2.2.15.16 が含まれている HP-UX Webサーバ スイート v3.28
Oracle は次のリンクで登録ユーザ向けのパッチをリリースしました: Solaris 11.1 11.1.11.4.0
Red Hat は次のリンクで登録済みのサブスクライバのための更新済ソフトウェアをリリースしました: Red Hat ネットワーク。 Red Hat パッケージは yum ツールを使用して Red Hat Enterprise Linux バージョン 5 および それ 以降でアップデートすることができます。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
URL
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/Cisco-SA-20130711-CVE-2013-1896
改訂履歴
| Version | Description | Section | Status | 日付 |
| 1.0 | 初版リリース | 該当なし | Final | 2013-Jul-11 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。