httpd-2.2.15-15.1.0.1.AXS4

エラータID: AXSA:2012-205:03

リリース日: 
2012/02/20 Monday - 14:47
題名: 
httpd-2.2.15-15.1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]

- Apache HTTP Server の server/util.c の ap_pregsub 関数には,mod_setenvif モジュールが有効な場合整数オーバーフローが存在し,巧妙に細工された HTTP リクエストヘッダと組み合わされた巧妙に作られたSetEnvIf ディレクティブを持つ .htaccess によって,ローカルのユーザが権限を得る脆弱性があります。(CVE-2011-3607)

- Apache HTTP Server の mod_proxy モジュールは,Revision 1179239 パッチが適用されている場合,リバースプロキシの設定のための (1) RewriteRule と (2) ProxyPassMatch パターンマッチが適切にやりとりできておらず,最初に@キャラクタを含む不正な URI で HTTP/0.9 プロトコルを用いることで,リモートの攻撃者がイントラネットのサーバにリクエストを送る脆弱性があります。なお,この脆弱性は CVE-2011-3368 の不完全な修正によるものです。(CVE-2011-3639)

- Apache HTTP Server の mod_proxy モジュールは Revision 1179239 パッチが適用されている場合,リバースプロキシの設定のための (1) RewriteRuleと (2) ProxyPassMatch パターンマッチが適切にやりとりできておらず,最初に @ キャラクタと : キャラクタが不正な位置にある不正な URI でリモートの攻撃者がイントラネットのサーバにリクエストを送る脆弱性があります。なお,この脆弱性は CVE-2011-3368 の不完全な修正によるものです。(CVE-2011-4317)

- Apache HTTP Server の scoreboard.c はローカルユーザーがサービス拒否(シャットダウン中のデーモンのクラッシュ)を引き起こしたり,あるいはスコアボードの共有メモリセグメント内の特定の型のフィールドを変更することにより引き起こされうる詳細未公開の問題があり、最終的にはfree関数の不正な呼び出しにつながる脆弱性があります。(CVE-2012-0031)

- Apache HTTP の protocol.c には Bad Request(リターンコード400)エラードキュメントを生成する時のヘッダー情報を適切に制限しない欠陥があり、これによりリモートの攻撃者は 、(1) 長い、もしくは (2) 不正なヘッダと巧妙に細工された webスクリプトを組み合わせることで、HTTPOnlyのクッキーの値を取得することができる脆弱性があります。(CVE-2012-0053)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. httpd-2.2.15-15.1.0.1.AXS4.src.rpm
    MD5: d559644b51ac0d77f4fd68bfdb248fe6
    SHA-256: 294286768c532b2bfd23c7dd00ba3d1531bc8616a5d137125e730f7714fb8ae0
    Size: 6.36 MB

Asianux Server 4 for x86
  1. httpd-2.2.15-15.1.0.1.AXS4.i686.rpm
    MD5: 9f9c829eadf140acd32bb7bf0806df90
    SHA-256: 4f0575a8ea0d9137ce8fed9ea499d7241b531199080e0fff7af965547e889eba
    Size: 816.82 kB
  2. httpd-devel-2.2.15-15.1.0.1.AXS4.i686.rpm
    MD5: 46eeda06e3b0870b3b4131992ce1f73c
    SHA-256: fa11934ee06eebbc78e8bb3d78e1f2cf78719145e93e4a8bdcc2373935ff1bd7
    Size: 146.47 kB
  3. httpd-manual-2.2.15-15.1.0.1.AXS4.noarch.rpm
    MD5: 921eb5e688c0f7d9832af98ed0ae0ebe
    SHA-256: a56d5be14f004154137b0de47806907f37abb71a4dd26713c934c75f4e415391
    Size: 780.19 kB
  4. httpd-tools-2.2.15-15.1.0.1.AXS4.i686.rpm
    MD5: 55327486509db50e42be92ec319a6137
    SHA-256: dc4684c5ebcade7665ba326c06ca2c12f1c3b7d33c2314a639067245c018d1c0
    Size: 70.03 kB
  5. mod_ssl-2.2.15-15.1.0.1.AXS4.i686.rpm
    MD5: 3089c61bcd7f34796e9ae584a13260e1
    SHA-256: b06bddea668800b1805ba5fe2f24514ad2b5b89309fc975f0278063a82190d6b
    Size: 87.16 kB

Asianux Server 4 for x86_64
  1. httpd-2.2.15-15.1.0.1.AXS4.x86_64.rpm
    MD5: d2cdad2c6711f608da1f0d2ce633e632
    SHA-256: 70f324c6a0104e8e21c1bc1c3e1ec7a249ee6ffc52d0f335ee673c4398746298
    Size: 812.54 kB
  2. httpd-devel-2.2.15-15.1.0.1.AXS4.x86_64.rpm
    MD5: 1a362d56a69b4c5c42f7025f80a0cba9
    SHA-256: 9c290320db04e9b9165dd1e199ab043d817f66a8b9972edacba4567f1678209a
    Size: 146.03 kB
  3. httpd-manual-2.2.15-15.1.0.1.AXS4.noarch.rpm
    MD5: fef2b2c39713e154bde85c4e21277d7a
    SHA-256: e75b2b990b8f09558720d19bae8de54b3ec829a049563fee7971c4a6074b23c3
    Size: 779.77 kB
  4. httpd-tools-2.2.15-15.1.0.1.AXS4.x86_64.rpm
    MD5: 8105f48c52569050e76ea1ae1020ec1b
    SHA-256: db6fb0e52d929a50287c1f6c375f0921a487f9ff48ccd2f0c9d2071d3fe758f4
    Size: 68.97 kB
  5. mod_ssl-2.2.15-15.1.0.1.AXS4.x86_64.rpm
    MD5: 5419e380cc2bb4f1244497e45db0d12c
    SHA-256: 86ae41c5621afe49a4d80c23cbc63f75b75ca8c2e4d9eda12fe164fdf047ef6c
    Size: 86.16 kB
  6. httpd-devel-2.2.15-15.1.0.1.AXS4.i686.rpm
    MD5: 46eeda06e3b0870b3b4131992ce1f73c
    SHA-256: fa11934ee06eebbc78e8bb3d78e1f2cf78719145e93e4a8bdcc2373935ff1bd7
    Size: 146.47 kB