3.影響を受けるソフトウェア Apache HTTP Server 2.0.64 以前 Apache HTTP Server 2.2.19 以前
※ Hitachi Web Server、IBM HTTP Server、Check Point/Cisco 製品もこの 脆弱性の影響を受けることが報告されています。詳細については、関連情報の 各ベンダアドバイザリを参照下さい。
4.解説 HTTP リクエストヘッダの 1 つである Range ヘッダは、レスポンスですべてのコンテンツではなく、取得したいデータの範囲 (バイトレンジ) を指定して要求することが可能です。また、Request-Range ヘッダは、Netscape Navigator 2/3, Microsoft Internet Explorer 3 などの一部の古い Web ブラウザで Range ヘッダの代替として利用されます。
この脆弱性は、既に Michal Zalewski 氏が Apache HTTP Server 及び Internet Information Services (IIS) における Range ヘッダの処理機能の実装 (RFC 2616) に不備があると 2007/1/4 に Full Disclosure で報告した問題であり、報告された内容が十分ではないとして保留状態にあったものになります。
