NVD Vulnerability Detail
Search Exploit, PoC
CVE-2009-2412
Summary

Multiple integer overflows in the Apache Portable Runtime (APR) library and the Apache Portable Utility library (aka APR-util) 0.9.x and 1.3.x allow remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via vectors that trigger crafted calls to the (1) allocator_alloc or (2) apr_palloc function in memory/unix/apr_pools.c in APR; or crafted calls to the (3) apr_rmm_malloc, (4) apr_rmm_calloc, or (5) apr_rmm_realloc function in misc/apr_rmm.c in APR-util; leading to buffer overflows. NOTE: some of these details are obtained from third party information.

Publication Date Aug. 7, 2009, 12:30 a.m.
Registration Date Jan. 29, 2021, 1:20 p.m.
Last Update Nov. 7, 2023, 11:04 a.m.
CVSS2.0 : HIGH
Score 10.0
Vector AV:N/AC:L/Au:N/C:C/I:C/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:apr-util:1.3.6-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.6-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.2-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.7-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.16-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.7-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.3-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.4-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.2-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.16:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:0.9.3-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.4-dev:*:*:*:*:*:*:*
cpe:2.3:a:apache:portable_runtime:1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:1.3.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:apr-util:0.9.5:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
APR ライブラリおよび APR-util ライブラリにおける整数オーバーフローの脆弱性
Title APR ライブラリおよび APR-util ライブラリにおける整数オーバーフローの脆弱性
Summary

Apache Portable Runtime (APR) ライブラリ、および Apache Portable Utility ライブラリ (APR-util) には、整数オーバーフローの脆弱性が存在します。

Possible impacts 第三者にサービス運用妨害 (DoS) 状態にされる、あるいは任意のコードを実行される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Aug. 6, 2009, midnight
Registration Date Sept. 17, 2009, 12:04 p.m.
Last Update Nov. 24, 2011, 10:57 a.m.
Affected System
レッドハット
Red Hat Enterprise Linux 3 (as)
Red Hat Enterprise Linux 3 (es)
Red Hat Enterprise Linux 3 (ws)
Red Hat Enterprise Linux 4 (as)
Red Hat Enterprise Linux 4 (es)
Red Hat Enterprise Linux 4 (ws)
Red Hat Enterprise Linux 4.8 (as)
Red Hat Enterprise Linux 4.8 (es)
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 3.0
Red Hat Enterprise Linux Desktop 4.0
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Enterprise Linux EUS 5.3.z (server)
RHEL Desktop Workstation 5 (client)
Apache Software Foundation
Apache HTTP Server 2.0.64 未満
Apache Portable Runtime 0.9.x
Apache Portable Runtime 1.3.x
APR-util 0.9.x
APR-util 1.3.x
トレンドマイクロ
InterScan Messaging Security Suite 7.x
InterScan Messaging Security Virtual Appliance 7.0
TrendMicro InterScan Messaging Security Appliance 7.0
オラクル
OpenSolaris 
Oracle Solaris 10
IBM
IBM HTTP Server 2.0.47.x
IBM HTTP Server 6.0.2.39
IBM HTTP Server 6.1.0.29
IBM HTTP Server 7.0.0.7
IBM WebSphere Application Server 6.0.2.39
IBM WebSphere Application Server 6.1.0.29
IBM WebSphere Application Server 7.0.0.7
ターボリナックス
Turbolinux Appliance Server 3.0
Turbolinux Appliance Server 3.0 (x64)
Turbolinux Appliance Server 2.0
Turbolinux Client 2008
Turbolinux FUJI (延長メンテナンス)
Turbolinux Server 10
Turbolinux Server 10 (x64)
Turbolinux Server 11
Turbolinux Server 11 (x64)
サイバートラスト株式会社
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
Asianux Server 3.0
Asianux Server 3.0 (x86-64)
Asianux Server 4.0
Asianux Server 4.0 (x86-64)
アップル
Apple Mac OS X v10.5.8
Apple Mac OS X v10.6
Apple Mac OS X v10.6.1
Apple Mac OS X Server v10.5.8
Apple Mac OS X Server v10.6
Apple Mac OS X Server v10.6.1
富士通
Interstage Application Server 
Interstage Studio 
Interstage Web Server 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2009年09月17日]
  掲載
[2009年11月06日]
  影響を受けるシステム:IBM (PK93225) の情報を追加
  ベンダ情報:IBM (PK93225) を追加
[2009年12月21日]
  影響を受けるシステム:IBM (7014463) の情報を追加
  影響を受けるシステム:IBM (7006876) の情報を追加
  影響を受けるシステム:アップル (HT3937) の情報を追加
  ベンダ情報:IBM (7014506) を追加
  ベンダ情報:IBM (7014463) を追加
  ベンダ情報:IBM (7007033) を追加
  ベンダ情報:IBM (7006876) を追加
  ベンダ情報:アップル (HT3937) を追加
[2010年02月05日]
  影響を受けるシステム:IBM (7007951) の情報を追加
  影響を受けるシステム:トレンドマイクロ (readme_imss71_lin_criticalpatch_b12531) の情報を追加
  影響を受けるシステム:トレンドマイクロ (readme_imss70_lin_criticalpatch_b33791) の情報を追加
  影響を受けるシステム:トレンドマイクロ (readme_imss70_sol_criticalpatch_b81651) の情報を追加
  影響を受けるシステム:トレンドマイクロ (readme_imss70_win_criticalpatch_b63681) の情報を追加
  影響を受けるシステム:トレンドマイクロ (JP-2076110) の情報を追加
  ベンダ情報:IBM (7007951) を追加
  ベンダ情報:IBM (7008517) を追加
  ベンダ情報:トレンドマイクロ (readme_imss71_lin_criticalpatch_b12531) を追加
  ベンダ情報:トレンドマイクロ (readme_imss70_lin_criticalpatch_b33791) を追加
  ベンダ情報:トレンドマイクロ (readme_imss70_sol_criticalpatch_b81651) を追加
  ベンダ情報:トレンドマイクロ (readme_imss70_win_criticalpatch_b63681) を追加
  ベンダ情報:トレンドマイクロ (JP-2076110) を追加
[2010年04月28日]
  影響を受けるシステム:IBM (PM10658) の情報を追加
  ベンダ情報:IBM (PM10658) を追加
[2010年08月02日]
  影響を受けるシステム:サン・マイクロシステムズ (cve_2010_0740_record_of) の情報を追加
  ベンダ情報:サン・マイクロシステムズ (cve_2010_0740_record_of) を追加
[2010年09月27日]
  影響を受けるシステム:ターボリナックス (TLSA-2010-30) の情報を追加
  ベンダ情報:ターボリナックス (TLSA-2010-30) を追加
[2010年11月04日]
  影響を受けるシステム:Apache Software Foundation (Fixed in Apache httpd 2.0.64) の情報を追加
  ベンダ情報:Apache Software Foundation (Fixed in Apache httpd 2.0.64) を追加
[2011年05月19日]
  影響を受けるシステム:サン・マイクロシステムズ (cve_2010_0740_record_of) の情報をオラクル (cve_2010_0740_record_of) の情報に変更
  ベンダ情報:サン・マイクロシステムズ (cve_2010_0740_record_of) の情報をオラクル (cve_2010_0740_record_of) に変更
[2011年11月24日]
  影響を受けるシステム:富士通 (interstage_as_201103) の情報を追加
  ベンダ情報:富士通 (interstage_as_201103) を追加		 Feb. 17, 2018, 10:37 a.m.