Apache Web Server Chunk Handling 취약점

======================
KA-2002-60 : Apache Web Server Chunk Handling Vulnerability
----------------------

최초작성일 : 2002/06/20
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 공재순(kong@certcc.or.kr)

-- 제목 --------------
Apache Web Server Chunk Handling 취약점

-- 해당 시스템 --------
Apache code 버전 1.3∼1.3.24 또는 2.0∼2.0.36 을 기반으로 한 웹서버

-- 설명---------------
Apache는 "chunked" encoding 의 사이즈를 계산하는 메커니즘을 가지고 있다. chunked enconding이란
웹 사용자들로부터 데이터를 받아들이기 위해 사용되어지는 HTTP 프로토콜의 규약중 한 부분이다.
사용자들로부터 데이터가 보내어지면, 웹 서버는 제출된 데이터를 유지하기 위해 메모리 버퍼 사이즈를 할당해야 한다.
그러나 제출된 데이터의 사이즈를 알 수 없는 경우 클라이언트나 웹브라우저는 조정된 크기로 생성된 chunks를 통해
서버와 커뮤니케이션 하게된다. Apache 버전 1.3∼1.3.24 또는 2.0∼2.0.36 에서는 기본적으로 이 기능이 enable 되어 있다.

Apache HTTP 서버는 유입된 data chunk의 사이즈를 잘못 해석하는 소프트웨어 흐름상의 문제로 인해
signal race, heap overflow, 악성코드에 의한 exploitation 등을 초래할 수 있다.

--영향-----------------
이 취약점은 구동되고 있는 서버의 소프트웨어 버전과 하드웨어의 플랫폼에 의존적으로 영향을 미친다.

Apache 버전 1.3∼1.3.24 에서는 스택 오버플로우를 발생시킬 수 있다. 64-bit UNIX 플랫폼에서는 리턴 어드레스가 스택에
저장되기 때문에 오버플로에 의해 컨트롤 할 수 있게되기 때문에 exploit 할 수 있으며, remote에서 공격자에 의해 서버상의
임의의 코드 실행을 허용하게된다. Windows 플랫폼에서도 유사하게 exploit이 가능하고, 웹 컨텐츠를 수정할 수 있다.

Apache 버전 2.0∼2.0.36 에서는 error condition이 정확하게 체크되기 때문에, 공격자에게 서버상의 임의의 코드를 실행하도록
허용하지는 않는다. 그러나 child 프로세스를 종료시켜 버리므로 인해 multithreaded model을 사용하는 플랫폼에서는 Apache
웹서버에 대한 DOS 공격이 야기될 수 있다.

--해결책---------------
1. vendor 별로 패치를 다운로드 받는다.
2. 최신버전으로 업그레이드한다. 1.3∼1.3.24버전 사용자는 1.3.26 버전이상으로, 2.0∼2.0.36버전 사용자는 2.0.39 버전이상으로 업그레이드한다.
http://httpd.apache.org/

--벤더별 정보------------

Apache Software Foundation
New versions of the Apache software are available from:
http://httpd.apache.org/

Conectiva Linux
The Apache webserver shipped with Conectiva Linux is vulnerable to this problem. New packages fixing this problem will be announced to
our mailing list after an official fix becomes available.

Cray, Inc.
Cray, Inc. does not distribute Apache with any of its operating systems.

IBM Corporation
IBM makes the Apache Server availble for AIX customers as a software package under the AIX-Linux Affinity initiative. This package is
included on the AIX Toolbox for Linux Applications CD, and can be downloaded via the IBM Linux Affinity website.
The currently available version of Apache Server is susceptible to the vulnerability described here. We will update our Apache
Server offering shortly to version 1.3.23, including the patch for this vulnerability; this update will be made available for downloading by
accessing this URL:http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html and following the instructions presented there.

Please note that Apache Server, and all Linux Affinity software, is offered on an "as-is" basis. IBM does not own the source code for this
software, nor has it developed and fully tested this code. IBM does not support these software packages.

Lotus
We have verified that the Lotus Domino web server is not vulnerable to this type of problem. Also, we do not ship Apache code with any Lotus products.

Microsoft Corporation
Microsoft does not ship the Apache web server.

Network Appliance
NetApp systems are not vulnerable to this problem.

RedHat Inc.
Red Hat distributes Apache 1.3 versions in all Red Hat Linux distributions, and as part of Stronghold. However we do not distribute Apache
for Windows. We are currently investigating the issue and will work on producing errata packages when an official fix for the problem is
made available. When these updates are complete they will be available from the URL below. At the same time users of the Red Hat Network
will be able to update their systems using the 'up2date' tool.

http://rhn.redhat.com/errata/RHSA-2002-103.html
Unisphere Networks
The Unisphere Networks SDX-300 Service Deployment System (aka. SSC) uses Apache 1.3.24. We are releasing Version 3.0 using Apache
1.3.25 soon, and will be issuing a patch release for SSC Version 2.0.3 in the very near future.

------- 참조 사이트 --------------------------
http://httpd.apache.org/info/security_bulletin_20020617.txt
http://www.cert.org/advisories/CA-2002-17.html
http://www.iss.net/security_center
--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================

--------------------
JaeSoon Kong, Staff of CERTCC-KR/KISA, Email: kong@certcc.or.kr
KOREA CERT Coordination Center/KOREA INFORMATION SECURITY AGENCY
5th FL., IT VentureTower 78, Garag-Dong, Songpa-gu,Seoul 138-803, Korea
Tel:+82-2-405-5085, Fax:02-405-5519
-------------------------------------------------------------------
* CERTCC-KR Security Incident Report and help desk Contact Points

관련 링크: http://apache.org