Vendor Status Note JVNCIAC-Q-093

mod_auth_pgsql のフォーマット文字列処理に脆弱性

概要

mod_auth_pgsql には、ログを保存する際のフォーマット文字列の処理に脆弱性があります。

想定される影響

httpd を実行しているユーザの権限を、遠隔から第三者が取得する可能性があります。

ベンダ情報

ベンダリンク更新日
Red Hatセキュリティアドバイス RHSA-2006:0164
Critical: mod_auth_pgsql security update
DebianDebian Security Advisory DSA-935
libapache2-mod-auth-pgsql -- format string vulnerability
参考情報

  1. ISS X-Force Database: apache-modauthpgsql-format-string(24003)
    Apache mod_auth_pgsql module multiple syslog format strings
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2006-0101 ( 2006-01-12 )
JPCERT-WR-2006-0201 ( 2006-01-18 )
CIAC BulletinQ-093 libapache2-mod-auth-pgsql ( 2006-01-10 )
CVE2005-3656 [CVE+] XF24003
PGP署名JVNCIAC-Q-093.html.sig
登録日18:39 2006/01/14
更新日16:34 2006/01/21

Copyright(C) 2002-2009 Keio Univ. All rights reserved.