AXSA:2021-1401:01

リリース日: 
2021/02/05 Friday - 07:41
題名: 
httpd:2.4 security, bug fix, and enhancement update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Apache HTTP サーバー には、プレーンなリソースに slow loris 攻撃
の手法でリクエストのボディーを送ることによって h2 ストリームが
サーバースレッドを不必要に占有し、受信データを削除してしまう脆弱性が
あります。(CVE-2018-17189)

- Apache HTTP サーバーには、ファジングされたネットワーク入力を使用すると、
http/2 リクエストの処理が文字列比較で開放されたメモリへアクセスし、リクエストが
不正に処理される可能性のある脆弱性があります。(CVE-2019-0196)

- Apache HTTP サーバーには、http ホストでHTTP/2 が有効な場合、あるいは
https ホストの h2 の H2Upgrade が有効な場合、接続上初めてのリクエストではない
http/1.1 から http/2 アップグレードリクエストがあると、設定ミスや、クラッシュを
引き起こす可能性がある脆弱性があります。(CVE-2019-0197)

- Apache HTTP サーバーの非常に初期のプッシュには、例えば "H2PushResource"
で構成されている場合、プッシュリクエストのプール上のメモリが上書きされ、クラッシュを
引き起こす可能性のある脆弱性があります。(CVE-2019-10081)

- Apache HTTP サーバーには、ファジングされたネットワーク入力を使用すると、
シャットダウンに接続する間、http/2 セッションの処理で開放された後のメモリの
読み込みを行う脆弱性があります。(CVE-2019-10082)

- Apache HTTP サーバーには、プロキシエラーページが表示されるような誤った
プロキシサーバーの設定を行っている場合、攻撃者がエラーページ上のリンクの形式を
細工し、代わりに任意のページを挿入する制限されたクロスサイトスクリプティングの
脆弱性があります。(CVE-2019-10092)

- Apache HTTP サーバーには、trusted proxy を利用するために "PROXY"
プロトコルを用いて mod_remoteip が設定されている場合、巧妙に細工された
プロキシのヘッダがスタックバッファーオーバーフローやヌルポインターデリファレンスを
引き起こす脆弱性があります。(CVE-2019-10097)

- Apache HTTP サーバーには、mod_rewirteモジュールでの自己参照を意図した
リダイレクト設定が、リクエストURLにエンコードされた改行文字を含めることで騙され、
リクエストURLに含まれるURLへリダイレクトしてしまうオープンリダイレクトの
脆弱性があります。(CVE-2020-10098, CVE-2020-1927)

- Apache HTTP サーバーには、悪意のあるFTPサーバーへのプロキシとして動作する際、
mod_proxy_ftpモジュールが初期化されていないメモリを利用してしまう
脆弱性があります。(CVE-2020-1934)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. httpd-2.4.37-30.0.1.module+el8+1167+7eaf19b0.src.rpm
    MD5: 232fb7bcf78a2b8cccbf4d483612c9d9
    SHA-256: 6bfaeee3a0593f1bf03fd5d92302eecef808d67fe758de36fac2388715dc69bf
    Size: 6.87 MB
  2. mod_http2-1.15.7-2.module+el8+1167+7eaf19b0.src.rpm
    MD5: 83a620a22b484049b29fc5479c116ec4
    SHA-256: df46c84edd216cde1ad1e42219d17fc5adc44c082f36c80db77f09e91e58e1b3
    Size: 1.01 MB
  3. mod_md-2.0.8-8.module+el8+1167+7eaf19b0.src.rpm
    MD5: 45ca4aca26da06a8fcdecca8a84f36f3
    SHA-256: a3af6daa1f2fea31cd8cdc8c96440266fe375fc6b6723b779932d0feca7a870a
    Size: 635.34 kB

Asianux Server 8 for x86_64
  1. httpd-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: bb2ccdd98416480d32b90765c9667ebe
    SHA-256: 8100258df71626b4d8fcc560358aa1614ec0e0ee0ae35f331d372fef467fc0b1
    Size: 1.40 MB
  2. httpd-debugsource-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 41c075703a542c291889c044199ab1f0
    SHA-256: 190c62f08054bab1b810a2fc7fd34d5e99d86f7b86e928a010ae9a2e7832c59c
    Size: 1.44 MB
  3. httpd-devel-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 0cd31f54ede6d08f66f92b47dc7adac0
    SHA-256: e94f23bd4b9d003c1c6aabd21b08f635f3005e3a7affe52f605cb4e7a532e055
    Size: 218.26 kB
  4. httpd-filesystem-2.4.37-30.0.1.module+el8+1167+7eaf19b0.noarch.rpm
    MD5: 8c11a04af742248b879119abda9d4cc6
    SHA-256: 2f6607d2549dace9f2a48c0c81ffd755bfa96f7dbbb8e33e91a7690014c59122
    Size: 35.70 kB
  5. httpd-manual-2.4.37-30.0.1.module+el8+1167+7eaf19b0.noarch.rpm
    MD5: 15c48c03755a06b06f72030336d0dd9a
    SHA-256: 236c2c15d748a71ada2e9422ee494d17be47d1713e1fd4caa31d96bd56edd9ae
    Size: 2.37 MB
  6. httpd-tools-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: cf85c4897f7516cb0999e7ee12898699
    SHA-256: 66a42939cb415f79cf397e08cb31a76104fa37d20794b7c7a77c0b92f0ebb1ba
    Size: 103.06 kB
  7. mod_ldap-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 9b77092a0af55926d0ac0b3f8927d4e2
    SHA-256: 499c815b0878ce2528b215ef166eb364fd55f78484a0eed5bdf71ec46c9831df
    Size: 81.17 kB
  8. mod_proxy_html-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 2e7c5434e852c1717fc32e50844f607b
    SHA-256: 77778f499aede33061af98874d4df47c4d979bd5f27e6cd9d1186c5f8308eef1
    Size: 58.07 kB
  9. mod_session-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 764856f9575a6590a9dab4375b3c3a5e
    SHA-256: 88f5fc64f46face348363971b2f34a968c6c61afc4b60a499bf1986e4ce69de1
    Size: 69.79 kB
  10. mod_ssl-2.4.37-30.0.1.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: c80ecd6aaee24d67c7dc43220658228d
    SHA-256: d2c90594bc4659dda0deb1a6ebca6e08dcbf49b36ac20402eaee9ddcede7420f
    Size: 131.60 kB
  11. mod_http2-1.15.7-2.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: ce7b17c15f0b2dd6706a8ff11f26e99c
    SHA-256: 7b79f9e7ec26b592ea853746baafa9091a27c9482f4a42f0581f8256427031ad
    Size: 152.85 kB
  12. mod_http2-debugsource-1.15.7-2.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 4bc5553df57536eee7c816e3a7a0df33
    SHA-256: c10473d2f0b0db73d518897715e17f5fc40db610889f0fa6ee1ea2f26bc59814
    Size: 146.75 kB
  13. mod_md-2.0.8-8.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 16d74e7c1cfdb63445f481563eda37f5
    SHA-256: 3eb1a6512733c4010fb6f9a21adb4e34a1049aa1feef4b690d347c924b164519
    Size: 183.76 kB
  14. mod_md-debugsource-2.0.8-8.module+el8+1167+7eaf19b0.x86_64.rpm
    MD5: 858f6b32767de94d5ef44262428f31d5
    SHA-256: bdf7a1e389075571895aad388ac33366de8cfc9218d0210c7887d1dcfc841a0f
    Size: 126.25 kB
Copyright© 2007-2015 Asianux. All rights reserved.