Ubuntu Weekly Topics

2009年6月19日号 9.10のFeature Definition Freeze,Hundred Papercutsプロジェクト,UWN#146,Firefox・Apache・Tomcatのセキュリティアップデート

この記事を読むのに必要な時間:およそ 3.5 分

今週のセキュリティアップデート

Firefoxのセキュリティアップデータがリリースされています。アップデートを適用した上で,再起動を行ってください。また,Apache・Tomcatのアップデータもリリースされています。全ての環境に影響するわけではありませんが,該当するサーバーを管理している方はアップデートを検討する必要があるでしょう。

usn-786-1 apr-utilのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000913.html
  • Ubuntu 8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1955, CVE-2009-1956を修正します。
  • CVE-2009-0023は,apr_strmatch_precompile()関数の問題により,設定ファイル等のパース時に整数アンダーフローが発生し,apr-utilを利用しているプロセス(多くの場合Apacheのデーモン)がクラッシュする問題です。.htaccessを経由してローカルから,また,mod_dav_svnやmod_apreq2を経由してリモートから攻撃を行うことが可能です。
  • CVE-2009-1955は,apr_xml_* interface()関数群の問題により,外部から入力されたXMLファイルをパースする際,無制限にメモリを消費する可能性がある問題です。これにより外部かシステムを動作不能に陥らせることが可能と考えられます。すでに攻撃コードが存在します。
  • CVE-2009-1956は,apr_brigade_vprintf()関数の問題により,バッファの最後尾+1byteの場所にヌル文字を書き込んでしまう可能性がある問題です。これにより,プロセスのクラッシュが発生する可能性があります。この問題はビッグエンディアンのマシンでのみ影響します。UbuntuではPowerPC・HPPA・SPARC環境が該当します。
  • 対処方法:アップデートを適用した上で,apr-utilを利用するすべてのアプリケーションを再起動してください。apr-utilを利用するアプリケーションは,Apacheなどが含まれます。
  • 備考:apr-utilはApacheに関連するライブラリですが,直接Apacheと関係のないアプリケーションでも利用されている場合があります(例:svnserve⁠⁠。これらのアプリケーションもこの問題の影響を受けます。apt-cache rdepends apr-utilで出力されるアプリケーションを個別に再起動するか,確信がない場合,システムごと再起動してください。
usn-787-1:Apacheのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000915.html
  • 現在サポートされている全てのUbuntu(Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1955, CVE-2009-1956を修正します。
  • CVE-2009-0023CVE-2009-1955CVE-2009-1956は,すべて上述のapr-util由来の問題です。脆弱性の内容はapr-utilのものを参照してください。いずれもUbuntu 6.06LTSにのみ影響します。
  • CVE-2009-1191は,mod_proxy_ajpの実装の問題により,サイズを偽装し,かつBODYのないリクエストを送出することで,直前にポストされたデータを送りつけたのと同じ振る舞いをさせることが可能な問題です。これにより重要なデータの漏洩が発生する可能性があります。この問題はUbuntu 9.04にのみ影響します。
  • CVE-2009-1195は,directoryディレクティブ内でAllowOverride Options=IncludesNoEXECを宣言した場合に,本来利用不可能になるべきでないSSI execが利用可能になってしまう問題です。この問題は8.04 lTS・8.10・9.04にのみ影響します。
  • 対処方法:通常の場合,アップデートのみで問題を解決できます。アップデート時にhttpdが一瞬再起動されるため,常時稼働している必要があるシステムでは注意してください。
usn-779-1:Firefox・Xulrunnerのセキュリティアップデート
usn-788-1:Tomcatのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000917.html
  • Ubuntu 8.10・9.04向けのセキュリティアップデートがリリースされています。CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783を修正します。
  • CVE-2008-5515は,リクエストディスパッチャが一定の形式のリクエストを受け付けた場合,WEB-INFディレクトリ以下の本来隠されているべきファイルが外部に漏洩する問題です。詳細はtomcat-devでのアナウンスを参照してください。
  • CVE-2009-0033は,Java AJP connectorとmod_jkによるロードバランシングを併用している環境において,一定のパケットを受け付けることでサーバー応答が1分間停止する問題です。これにより外部からサーバーに対してDoSを仕掛けることが可能と考えられます。
  • CVE-2009-0580は,FORM認証を利用している環境において,無効なエンコーディングを施されたpasswordパラメータを含めたURLをリクエストすることにより,存在するユーザー名の推測が可能な問題です。
  • CVE-2009-0781は,Tomcatの配布物に含まれているカレンダー表示を行うサンプルアプリケーションの問題で,URLに不正な文字列を含めておくことで,クロスサイトスクリプティングが可能な問題です。比較的容易に悪用が可能と考えられます。
  • CVE-2009-0783は,Tomcat上でホストされるWebアプリケーションが,web.xml・context.xml・tldファイルを解釈する際,本来利用できないXMLパーサを呼び出して不正に使用できる問題です。
  • 対処方法:通常の場合,アップデートのみで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。