CVE-2011-3607 CVE-2011-4415 Apache HTTPD 正規表現処理の脆弱性について

この脆弱性は2011年11月2日に Full Disclosure ML への投稿により公開されました。攻撃に使用する .htaccess ファイルの設置が必要という前提条件がありますが、リモートからの任意コード実行が可能です。
Integer Overflow in Apache ap_pregsub via mod-setenvif

過去に同 ML にていきなり公開された Apache Killer の件とは異なり、脆弱性発見者は事前に Apache HTTPD の開発者へ脆弱性としての報告を行っており、ある意味正しい脆弱性情報公開の流れになっています。

この辺の流れは脆弱性公開者のページの Timeline 部分から読み取れます。脆弱性の詳細、影響、回避策、PoC と一通りの情報は記載されています。
http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/

任意コード実行可能な脆弱性にも関わらず impact low の記載があるのは、脆弱性の利用に任意の .htaccess ファイル設置が必要な為であると考えられます。認証無しでこのファイルを設置出来る所はまず無いでしょうし、その場合は設置の時点で認証をしているので、誰が攻撃したか特定できてしまいます。

最新版のソースコードレポジトリでは修正はされていますが、安定版の 2.2 系や 2.0 系へはまだ修正がバックポートされていません。該当する修正は以下の箇所です。
Apache-SVN Revision 1198940

リリースも暫く先になると推測されますので、該当する使い方の場合は引き続き注意が必要です。

シェアする