▼ 2012/01/13(金) Webアプリケーションに対するサービス妨害攻撃(hashdos)に対応してください
【マルチOS】
PHP や ASP.NET をはじめとする、広範な Web アプリケーションフレームワークに対して有効なサービス妨害攻撃 (DoS 攻撃) 手法が発見されました。
各アプリケーションフレームワークでの対応が行われています。利用者は更新して下さい。
PHP
PHP 5.3.9 で修正されています。各 Linux ディストリビューション用の対応パッケージも用意されつつあります。
Linux で構築した Web サーバには PHP がインストールされていることがほとんどです。その場合、PHP の更新が必要となります。
ASP.NET
MS11-100 - 緊急: .NET Framework の脆弱性により、特権が昇格される (2638420) で修正されています。Microsoft Update を利用するなどして適用して下さい。適用には時間がかかりますのでご注意下さい。
Ruby, JRuby
Ruby 1.8.7-p357 / 1.9.x、JRuby 1.6.5.1 で修正されています。
Apache Tomcat
Tomcat 5.5.35 / 6.0.35 / 7.0.23 で修正されています。
■ 2012.01.26 追記
CentOS 5 の PHP 用 fix が公開されたので修正した。
■ 2012.02.07 追記
PHP 5.3.9 の hashdos 対応部分に欠陥が見つかり、この修正のために PHP 5.3.10 が公開されました。各 Linux ディストリビューションでも対応パッケージが用意されています。
Red Hat Enterprise Linux
- RHSA-2012:0092-1 - Critical: php53 security update 。RHEL 5 の php53 パッケージ用。
- RHSA-2012:0093-1 - Critical: php security update 。RHEL 4/5/6 の php パッケージ用。
CentOS (Red Hat Enterprise Linux 互換)
- RHSA-2012:0092 対応: CentOS 5 php53
- RHSA-2012:0093 対応: CentOS 4、CentOS 5、CentOS 6
Scientific Linux (Red Hat Enterprise Linux 互換)
- RHSA-2012:0092 対応: Security ERRATA Critical: php53 on SL5.x i386/x86_64
- RHSA-2012:0093 対応: Security ERRATA Critical: php on SL4.x, SL5.x, SL6.x i386/x86_64
Debian GNU/Linux
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/0426/tb/