2002/06/07: mod_encoding のセキュリティホールについて

2002年6月6日に、mod_encoding に脆弱性が発見されました。
この脆弱性により、Apache の実行ユーザ権限でアクセス可
能な任意のファイルを不正に読み出されてしまう可能性が
あります。

以下の条件に該当する方は早急に対処を行なって下さい。


・少なくとも，脆弱性が確認された以下のバージョンの
mod_encoding を利用している 

　mod_encoding-20011026a.tar.gz
　mod_encoding-20011211a.tar.gz

　なお、dav-dev ML において一番最初に公開された
mod_encoding.c およびその派生物である mod_encmssjis.c 
につきましては、この脆弱性を有していないことを確認して
おります。

　この脆弱性は，吉沢 孝敏様からの報告により発見されま
した。ご報告に感謝致します． 


対処法
　以下のいずれかの対処を実施してください。

・mod_encoding-20011211a-hotfix.tar.gz を入手し、コンパイ
ルの上差し替える。
　当該ファイルは、WebDAV Resources JP(http://webdav.todo.gr.jp/)
から入手可能です。
　また、Apache2 版の mod_encoding.c は、ダウンロードメニューから
入手可能です。

・mod_encoding-20011211aに含まれる mod_encoding.c について
 以下のパッチを施した上でコンパイル、インストールをしなおす。

*** mod_encoding-20011211a/mod_encoding.c       Tue Dec 11 21:55:38 2001
--- mod_encoding-20011211a-hotfix/mod_encoding.c        Thu Jun  6 21:39:00 2002
***************
*** 451,457 ****
    config_merge,     /* server config merger */
    mod_enc_commands, /* command table */
    NULL,             /* handlers */
!   mod_enc_convert,  /* filename translation */
    NULL,             /* check_user_id */
    NULL,             /* check auth */
    NULL,             /* check access */
--- 451,457 ----
    config_merge,     /* server config merger */
    mod_enc_commands, /* command table */
    NULL,             /* handlers */
!   NULL,             /* filename translation */
    NULL,             /* check_user_id */
    NULL,             /* check auth */
    NULL,             /* check access */
***************
*** 461,465 ****
    NULL,             /* header parser */
    NULL,             /* child_init */
    NULL,             /* child_exit */
!   NULL,             /* post read-request */
  };
--- 461,465 ----
    NULL,             /* header parser */
    NULL,             /* child_init */
    NULL,             /* child_exit */
!   mod_enc_convert,  /* post read-request */
  };


・上記パッチを参考に手動でソースコードを修正し、コンパイル、
インストールをしなおす。

　なお、Apache2 対応の試作版につきましても、ベースバージョン
が同じため同様の修正を施しております。