httpd-2.4.6-97.4.0.1.el7.AXS7
エラータID: AXSA:2022-2982:01
リリース日:
2022/01/18 Tuesday - 16:52
題名:
httpd-2.4.6-97.4.0.1.el7.AXS7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- httpd には オリジンサーバーから送信された巧妙に細工された
SessionHeader により、ヒープ領域のバッファーオーバーフローが
発生する脆弱性があります。(CVE-2021-26691)
- httpd には悪意のあるリクエストにより、httpd サーバーが
NULL ポインタ・デリファレンスを引き起こす脆弱性があります。
(CVE-2021-34798)
- httpd には、ap_escape_quotes() に悪意のある入力が与えられた
場合に、バッファーの終端を越えて書き込みを実行してしまう
脆弱性があります。
なお、標準のモジュールでは信頼されないデータを引き渡すことは
ありませんが、サードパーティー製や外部のモジュールが引き渡す
可能性があります。(CVE-2021-39275)
- httpd には、lua スクリプトから呼び出される mod_lua マルチパート
パーサー r:parsebody() で、巧妙に細工されたリクエストボディにより
バッファーオーバーフローが発生する脆弱性があります。
(CVE-2021-44790)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2021-26691
In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted SessionHeader sent by an origin server could cause a heap overflow
In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted SessionHeader sent by an origin server could cause a heap overflow
CVE-2021-34798
Malformed requests may cause the server to dereference a NULL pointer. This issue affects Apache HTTP Server 2.4.48 and earlier.
Malformed requests may cause the server to dereference a NULL pointer. This issue affects Apache HTTP Server 2.4.48 and earlier.
CVE-2021-39275
ap_escape_quotes() may write beyond the end of a buffer when given malicious input. No included modules pass untrusted data to these functions, but third-party / external modules may. This issue affects Apache HTTP Server 2.4.48 and earlier.
ap_escape_quotes() may write beyond the end of a buffer when given malicious input. No included modules pass untrusted data to these functions, but third-party / external modules may. This issue affects Apache HTTP Server 2.4.48 and earlier.
CVE-2021-44790
A carefully crafted request body can cause a buffer overflow in the mod_lua multipart parser (r:parsebody() called from Lua scripts). The Apache httpd team is not aware of an exploit for the vulnerabilty though it might be possible to craft one. This issue affects Apache HTTP Server 2.4.51 and earlier.
A carefully crafted request body can cause a buffer overflow in the mod_lua multipart parser (r:parsebody() called from Lua scripts). The Apache httpd team is not aware of an exploit for the vulnerabilty though it might be possible to craft one. This issue affects Apache HTTP Server 2.4.51 and earlier.
追加情報:
N/A
ダウンロード:
SRPMS
- httpd-2.4.6-97.4.0.1.el7.AXS7.src.rpm
MD5: 99a1abd03d2b97c71bae626b083a45c1
SHA-256: 23ec86ece08202bbd8aa24c0e9710b7044b04ef29f629f916f68d19c8fb7bc54
Size: 4.98 MB
Asianux Server 7 for x86_64
- httpd-2.4.6-97.4.0.1.el7.AXS7.x86_64.rpm
MD5: e1f9c3cfcfee15d7e39fdcd5e9536670
SHA-256: e36daeef6eb18630859468fc1eadf2db8b5ea86a73255909853acf361a81dadd
Size: 1.19 MB - httpd-devel-2.4.6-97.4.0.1.el7.AXS7.x86_64.rpm
MD5: d233807458b051f98ab0f271aaa7e5df
SHA-256: f7200fef87a961fcf18bb586afd028413ed740998e622d1de3c83a18ca1383e1
Size: 199.21 kB - httpd-manual-2.4.6-97.4.0.1.el7.AXS7.noarch.rpm
MD5: 605bcd7f9fa829218c88282a9619b5df
SHA-256: 9348bcc2d11ab4dbafb12832efebb0e93cb7e27d3eed4409ff89b87e7ff170ab
Size: 1.34 MB - httpd-tools-2.4.6-97.4.0.1.el7.AXS7.x86_64.rpm
MD5: b7f36a1426ca72e14a27fb831833ce63
SHA-256: fc0a67f341462a888ea909f15da6579fe1edc3687ef5720a7c7fb822e6fffd48
Size: 93.07 kB - mod_session-2.4.6-97.4.0.1.el7.AXS7.x86_64.rpm
MD5: 0a834d091ec5b4af1259bfcc875f0bc4
SHA-256: 82df897abf5ef66c7c2dcd98a419e5fde7499ff2e88ddabd2e686077c997ea9e
Size: 63.12 kB - mod_ssl-2.4.6-97.4.0.1.el7.AXS7.x86_64.rpm
MD5: c974bbe2c98bd194d6f45a3ca928d09c
SHA-256: e45298cf6d584b3a57f7413f659c47ad989569fdfd05ee127995a2f72661a8dd
Size: 114.23 kB