製品・ソフトウェアに関する情報
Vulnerability Search
Apache HTTP Server の mod_headers モジュールにおけるディレクティブを回避される脆弱性
Title Apache HTTP Server の mod_headers モジュールにおけるディレクティブを回避される脆弱性
Summary

Apache HTTP Server の mod_headers モジュールには、"RequestHeader unset" ディレクティブを回避される脆弱性が存在します。

Possible impacts 第三者により、チャンク転送コーディングで送信されるデータのトレーラ部分にヘッダを配置されることで、"RequestHeader unset" ディレクティブを回避される可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Sept. 5, 2013, midnight
Registration Date April 16, 2014, 6:34 p.m.
Last Update Jan. 29, 2016, 4:27 p.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:N/I:P/A:N
Affected System
Apache Software Foundation
Apache HTTP Server 2.2.22
Apache HTTP Server 2.2.22
オラクル
Oracle Enterprise Manager Ops Center 12.1.4 未満
Oracle Enterprise Manager Ops Center 12.2.0
Oracle Enterprise Manager Ops Center 12.2.1
Oracle Enterprise Manager Ops Center 12.3.0
Oracle Enterprise Manager Ops Center 12.1.4 未満
Oracle Enterprise Manager Ops Center 12.2.0
Oracle Enterprise Manager Ops Center 12.2.1
Oracle Enterprise Manager Ops Center 12.3.0
Oracle HTTP Server 10.1.3.5.0
Oracle HTTP Server 11.1.1.7.0
Oracle HTTP Server 12.1.2.0
Oracle HTTP Server 12.1.3.0
Oracle HTTP Server 10.1.3.5.0
Oracle HTTP Server 11.1.1.7.0
Oracle HTTP Server 12.1.2.0
Oracle HTTP Server 12.1.3.0
SPARC Enterprise M3000 サーバ 
SPARC Enterprise M3000 サーバ 
SPARC Enterprise M4000 サーバ 
SPARC Enterprise M4000 サーバ 
SPARC Enterprise M5000 サーバ 
SPARC Enterprise M5000 サーバ 
SPARC Enterprise M8000 サーバ 
SPARC Enterprise M8000 サーバ 
SPARC Enterprise M9000 サーバ 
SPARC Enterprise M9000 サーバ 
XCP 1120 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
XCP 1120 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
アップル
Apple Mac OS X 10.10 から 10.10.2
Apple Mac OS X 10.8.5
Apple Mac OS X 10.9.5
Apple Mac OS X 10.10 から 10.10.2
Apple Mac OS X 10.8.5
Apple Mac OS X 10.9.5
macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)
macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)
日立
Cosminexus HTTP Server 
Cosminexus HTTP Server 
Hitachi Application Server 
Hitachi Application Server 
Hitachi Application Server for Developers 
Hitachi Application Server for Developers 
Hitachi Web Server 
Hitachi Web Server - Custom Edition
Hitachi Web Server 
Hitachi Web Server - Custom Edition
uCosminexus Application Server 
uCosminexus Application Server (64)
uCosminexus Application Server -R
uCosminexus Application Server Express
uCosminexus Application Server Standard-R
uCosminexus Application Server 
uCosminexus Application Server (64)
uCosminexus Application Server -R
uCosminexus Application Server Express
uCosminexus Application Server Standard-R
uCosminexus Application Server Enterprise 
uCosminexus Application Server Enterprise 
uCosminexus Application Server Smart Edition 
uCosminexus Application Server Smart Edition 
uCosminexus Application Server Standard 
uCosminexus Application Server Standard 
uCosminexus Developer 
uCosminexus Developer 01
uCosminexus Developer Professional
uCosminexus Developer Professional for Plug-in
uCosminexus Developer 
uCosminexus Developer 01
uCosminexus Developer Professional
uCosminexus Developer Professional for Plug-in
uCosminexus Developer Standard 
uCosminexus Developer Standard 
uCosminexus Primary Server Base
uCosminexus Primary Server Base(64)
uCosminexus Primary Server Base
uCosminexus Primary Server Base(64)
uCosminexus Service Architect 
uCosminexus Service Architect 
uCosminexus Service Platform 
uCosminexus Service Platform (64)
uCosminexus Service Platform - Messaging
uCosminexus Service Platform 
uCosminexus Service Platform (64)
uCosminexus Service Platform - Messaging
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年04月16日]
  掲載
[2015年01月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年01月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年04月13日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204659) を追加
  ベンダ情報:アップル (APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004) を追加
  参考情報:JVN (JVNVU#91828320) を追加
[2015年04月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS15-011) を追加
[2015年07月29日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月05日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (APPLE-SA-2015-09-16-4 OS X Server 5.0.3) を追加
  ベンダ情報:アップル (HT205219) を追加
  参考情報:JVN (JVNVU#99970459) を追加
[2015年10月08日]
  ベンダ情報:ターボリナックス (TLSA-2015-19) を追加
[2016年01月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加		 Feb. 17, 2018, 10:37 a.m.
0 [2014年04月16日]
  掲載
[2015年01月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年01月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年04月13日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204659) を追加
  ベンダ情報:アップル (APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004) を追加
  参考情報:JVN (JVNVU#91828320) を追加
[2015年04月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS15-011) を追加
[2015年07月29日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月05日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (APPLE-SA-2015-09-16-4 OS X Server 5.0.3) を追加
  ベンダ情報:アップル (HT205219) を追加
  参考情報:JVN (JVNVU#99970459) を追加
[2015年10月08日]
  ベンダ情報:ターボリナックス (TLSA-2015-19) を追加
[2016年01月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2013-5704
Summary

The mod_headers module in the Apache HTTP Server 2.2.22 allows remote attackers to bypass "RequestHeader unset" directives by placing a header in the trailer portion of data sent with chunked transfer coding. NOTE: the vendor states "this is not a security issue in httpd as such."

Publication Date April 15, 2014, 7:55 p.m.
Registration Date Jan. 26, 2021, 3:46 p.m.
Last Update Nov. 21, 2024, 10:57 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:http_server:2.2.23:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.11:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.13:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.17:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.16:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.21:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.14:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.24:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.25:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.22:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.19:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.27:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.18:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.12:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.15:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.20:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.26:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.5:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.7:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.7:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:7.7:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:redhat:jboss_enterprise_web_server:3.0.0:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
2 cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:a:redhat:jboss_enterprise_web_server:2.0.0:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:o:redhat:enterprise_linux:5.0:*:*:*:*:*:*:*
2 cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
3 cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.2.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:http_server:12.1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.1.4:*:*:*:*:*:*:*
cpe:2.3:a:oracle:http_server:12.1.2.0:*:*:*:*:*:*:*
cpe:2.3:o:oracle:solaris:11.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:http_server:11.1.1.7.0:*:*:*:*:*:*:*
cpe:2.3:o:oracle:linux:6:-:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:*:*:*:*:*:*:*:* 12.1.4
cpe:2.3:a:oracle:http_server:10.1.3.5.0:*:*:*:*:*:*:*
Configuration6 or higher or less more than less than
cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* 10.10.4
cpe:2.3:o:apple:mac_os_x_server:*:*:*:*:*:*:*:* 5.0.3
Configuration7 or higher or less more than less than
cpe:2.3:o:canonical:ubuntu_linux:14.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:*
Related information, measures and tools
Common Vulnerabilities List