製品・ソフトウェアに関する情報
脆弱性検索
Apache HTTP Server の log_cookie 関数におけるサービス運用妨害 (DoS) の脆弱性
タイトル Apache HTTP Server の log_cookie 関数におけるサービス運用妨害 (DoS) の脆弱性
概要

Apache HTTP Server の mod_log_config モジュールにある mod_log_config.c 内の log_cookie 関数は、スレッド化された MPM が使用されている際、%{}C 形式の文字列を適切に処理しないため、サービス運用妨害 (デーモンクラッシュ) 状態となる脆弱性が存在します。

想定される影響 第三者により、名前と値を持たない cookie を介して、サービス運用妨害 (デーモンクラッシュ) 状態となる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2011年11月28日0:00
登録日 2012年2月1日16:21
最終更新日 2014年2月3日18:00
CVSS2.0 : 注意
スコア 2.6
ベクター AV:N/AC:H/Au:N/C:N/I:N/A:P
影響を受けるシステム
Apache Software Foundation
Apache HTTP Server 2.2.17 から 2.2.21
アップル
Apple Mac OS X v10.6.8
Apple Mac OS X v10.7 から v10.7.4
Apple Mac OS X Server v10.6.8
Apple Mac OS X Server v10.7 から v10.7.4
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2012年02月01日]
  掲載
[2012年04月20日]
  ベンダ情報:オラクル (CVE-2012-0021 Improper Input Validation vulnerability in Apache HTTP Server) を追加
[2012年07月25日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU02786 SSRT100877) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2012) を追加
[2012年10月15日]
  ベンダ情報:アップル (HT5501) を追加
[2014年02月03日]
  影響を受けるシステム:アップル (HT5501) の情報を追加
  ベンダ情報:Apache Software Foundation (Bug 52256) を追加
  ベンダ情報:アップル (APPLE-SA-2012-09-19-2) を追加
  ベンダ情報:レッドハット (Bug 785065) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2012-0021
概要

The log_cookie function in mod_log_config.c in the mod_log_config module in the Apache HTTP Server 2.2.17 through 2.2.21, when a threaded MPM is used, does not properly handle a %{}C format string, which allows remote attackers to cause a denial of service (daemon crash) via a cookie that lacks both a name and a value.

公表日 2012年1月28日13:05
登録日 2021年1月28日14:52
最終更新日 2024年11月21日10:34
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:http_server:2.2.17:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.21:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.19:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.18:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.2.20:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧