httpd:2.4 security, bug fix, and enhancement update

エラータID: AXSA:2021-1401:01

リリース日: 
2021/02/05 Friday - 08:41
題名: 
httpd:2.4 security, bug fix, and enhancement update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Apache HTTP サーバー には、プレーンなリソースに slow loris 攻撃
の手法でリクエストのボディーを送ることによって h2 ストリームが
サーバースレッドを不必要に占有し、受信データを削除してしまう脆弱性が
あります。(CVE-2018-17189)

- Apache HTTP サーバーには、ファジングされたネットワーク入力を使用すると、
http/2 リクエストの処理が文字列比較で開放されたメモリへアクセスし、リクエストが
不正に処理される可能性のある脆弱性があります。(CVE-2019-0196)

- Apache HTTP サーバーには、http ホストでHTTP/2 が有効な場合、あるいは
https ホストの h2 の H2Upgrade が有効な場合、接続上初めてのリクエストではない
http/1.1 から http/2 アップグレードリクエストがあると、設定ミスや、クラッシュを
引き起こす可能性がある脆弱性があります。(CVE-2019-0197)

- Apache HTTP サーバーの非常に初期のプッシュには、例えば "H2PushResource"
で構成されている場合、プッシュリクエストのプール上のメモリが上書きされ、クラッシュを
引き起こす可能性のある脆弱性があります。(CVE-2019-10081)

- Apache HTTP サーバーには、ファジングされたネットワーク入力を使用すると、
シャットダウンに接続する間、http/2 セッションの処理で開放された後のメモリの
読み込みを行う脆弱性があります。(CVE-2019-10082)

- Apache HTTP サーバーには、プロキシエラーページが表示されるような誤った
プロキシサーバーの設定を行っている場合、攻撃者がエラーページ上のリンクの形式を
細工し、代わりに任意のページを挿入する制限されたクロスサイトスクリプティングの
脆弱性があります。(CVE-2019-10092)

- Apache HTTP サーバーには、trusted proxy を利用するために "PROXY"
プロトコルを用いて mod_remoteip が設定されている場合、巧妙に細工された
プロキシのヘッダがスタックバッファーオーバーフローやヌルポインターデリファレンスを
引き起こす脆弱性があります。(CVE-2019-10097)

- Apache HTTP サーバーには、mod_rewirteモジュールでの自己参照を意図した
リダイレクト設定が、リクエストURLにエンコードされた改行文字を含めることで騙され、
リクエストURLに含まれるURLへリダイレクトしてしまうオープンリダイレクトの
脆弱性があります。(CVE-2020-10098, CVE-2020-1927)

- Apache HTTP サーバーには、悪意のあるFTPサーバーへのプロキシとして動作する際、
mod_proxy_ftpモジュールが初期化されていないメモリを利用してしまう
脆弱性があります。(CVE-2020-1934)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-17189
In Apache HTTP server versions 2.4.37 and prior, by sending request bodies in a slow loris way to plain resources, the h2 stream for that request unnecessarily occupied a server thread cleaning up that incoming data. This affects only HTTP/2 (mod_http2) connections.
CVE-2019-0196
A vulnerability was found in Apache HTTP Server 2.4.17 to 2.4.38. Using fuzzed network input, the http/2 request handling could be made to access freed memory in string comparison when determining the method of a request and thus process the request incorrectly.
CVE-2019-0197
A vulnerability was found in Apache HTTP Server 2.4.34 to 2.4.38. When HTTP/2 was enabled for a http: host or H2Upgrade was enabled for h2 on a https: host, an Upgrade request from http/1.1 to http/2 that was not the first request on a connection could lead to a misconfiguration and crash. Server that never enabled the h2 protocol or that only enabled it for https: and did not set "H2Upgrade on" are unaffected by this issue.
CVE-2019-10081
HTTP/2 (2.4.20 through 2.4.39) very early pushes, for example configured with "H2PushResource", could lead to an overwrite of memory in the pushing request's pool, leading to crashes. The memory copied is that of the configured push link header values, not data supplied by the client.
CVE-2019-10082
In Apache HTTP Server 2.4.18-2.4.39, using fuzzed network input, the http/2 session handling could be made to read memory after being freed, during connection shutdown.
CVE-2019-10092
In Apache HTTP Server 2.4.0-2.4.39, a limited cross-site scripting issue was reported affecting the mod_proxy error page. An attacker could cause the link on the error page to be malformed and instead point to a page of their choice. This would only be exploitable where a server was set up with proxying enabled but was misconfigured in such a way that the Proxy Error page was displayed.
CVE-2019-10097
In Apache HTTP Server 2.4.32-2.4.39, when mod_remoteip was configured to use a trusted intermediary proxy server using the "PROXY" protocol, a specially crafted PROXY header could trigger a stack buffer overflow or NULL pointer deference. This vulnerability could only be triggered by a trusted proxy and not by untrusted HTTP clients.
CVE-2019-10098
In Apache HTTP server 2.4.0 to 2.4.39, Redirects configured with mod_rewrite that were intended to be self-referential might be fooled by encoded newlines and redirect instead to an unexpected URL within the request URL.
CVE-2020-1927
In Apache HTTP Server 2.4.0 to 2.4.41, redirects configured with mod_rewrite that were intended to be self-referential might be fooled by encoded newlines and redirect instead to an an unexpected URL within the request URL.
CVE-2020-1934
In Apache HTTP Server 2.4.0 to 2.4.41, mod_proxy_ftp may use uninitialized memory when proxying to a malicious FTP server.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. httpd-2.4.37-30.0.1.module+el8+1167+7eaf19b0.src.rpm
    MD5: 232fb7bcf78a2b8cccbf4d483612c9d9
    SHA-256: 6bfaeee3a0593f1bf03fd5d92302eecef808d67fe758de36fac2388715dc69bf
    Size: 6.87 MB
  2. mod_http2-1.15.7-2.module+el8+1167+7eaf19b0.src.rpm
    MD5: 83a620a22b484049b29fc5479c116ec4
    SHA-256: df46c84edd216cde1ad1e42219d17fc5adc44c082f36c80db77f09e91e58e1b3
    Size: 1.01 MB
  3. mod_md-2.0.8-8.module+el8+1167+7eaf19b0.src.rpm
    MD5: 45ca4aca26da06a8fcdecca8a84f36f3
    SHA-256: a3af6daa1f2fea31cd8cdc8c96440266fe375fc6b6723b779932d0feca7a870a
    Size: 635.34 kB

Asianux Server 8 for x86_64
  1. httpd-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: bb2ccdd98416480d32b90765c9667ebe
    SHA-256: 8100258df71626b4d8fcc560358aa1614ec0e0ee0ae35f331d372fef467fc0b1
    Size: 1.40 MB
  2. httpd-debugsource-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 41c075703a542c291889c044199ab1f0
    SHA-256: 190c62f08054bab1b810a2fc7fd34d5e99d86f7b86e928a010ae9a2e7832c59c
    Size: 1.44 MB
  3. httpd-devel-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 0cd31f54ede6d08f66f92b47dc7adac0
    SHA-256: e94f23bd4b9d003c1c6aabd21b08f635f3005e3a7affe52f605cb4e7a532e055
    Size: 218.26 kB
  4. httpd-filesystem-2.4.37-30.0.1.module+el8+1167+7eaf19b0.noarch.rpm
    MD5: 8c11a04af742248b879119abda9d4cc6
    SHA-256: 2f6607d2549dace9f2a48c0c81ffd755bfa96f7dbbb8e33e91a7690014c59122
    Size: 35.70 kB
  5. httpd-manual-2.4.37-30.0.1.module+el8+1167+7eaf19b0.noarch.rpm
    MD5: 15c48c03755a06b06f72030336d0dd9a
    SHA-256: 236c2c15d748a71ada2e9422ee494d17be47d1713e1fd4caa31d96bd56edd9ae
    Size: 2.37 MB
  6. httpd-tools-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: cf85c4897f7516cb0999e7ee12898699
    SHA-256: 66a42939cb415f79cf397e08cb31a76104fa37d20794b7c7a77c0b92f0ebb1ba
    Size: 103.06 kB
  7. mod_ldap-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 9b77092a0af55926d0ac0b3f8927d4e2
    SHA-256: 499c815b0878ce2528b215ef166eb364fd55f78484a0eed5bdf71ec46c9831df
    Size: 81.17 kB
  8. mod_proxy_html-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 2e7c5434e852c1717fc32e50844f607b
    SHA-256: 77778f499aede33061af98874d4df47c4d979bd5f27e6cd9d1186c5f8308eef1
    Size: 58.07 kB
  9. mod_session-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 764856f9575a6590a9dab4375b3c3a5e
    SHA-256: 88f5fc64f46face348363971b2f34a968c6c61afc4b60a499bf1986e4ce69de1
    Size: 69.79 kB
  10. mod_ssl-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: c80ecd6aaee24d67c7dc43220658228d
    SHA-256: d2c90594bc4659dda0deb1a6ebca6e08dcbf49b36ac20402eaee9ddcede7420f
    Size: 131.60 kB
  11. mod_http2-1.15.7-2.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: ce7b17c15f0b2dd6706a8ff11f26e99c
    SHA-256: 7b79f9e7ec26b592ea853746baafa9091a27c9482f4a42f0581f8256427031ad
    Size: 152.85 kB
  12. mod_http2-debugsource-1.15.7-2.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 4bc5553df57536eee7c816e3a7a0df33
    SHA-256: c10473d2f0b0db73d518897715e17f5fc40db610889f0fa6ee1ea2f26bc59814
    Size: 146.75 kB
  13. mod_md-2.0.8-8.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 16d74e7c1cfdb63445f481563eda37f5
    SHA-256: 3eb1a6512733c4010fb6f9a21adb4e34a1049aa1feef4b690d347c924b164519
    Size: 183.76 kB
  14. mod_md-debugsource-2.0.8-8.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 858f6b32767de94d5ef44262428f31d5
    SHA-256: bdf7a1e389075571895aad388ac33366de8cfc9218d0210c7887d1dcfc841a0f
    Size: 126.25 kB