httpd-2.2.3-76.0.1.AXS3
エラータID: AXSA:2013-45:01
以下項目について対処しました。
[Security Fix]
- Apache HTTP サーバの mod_negotiation モジュールには クロスサイトスクリプティング (XSS) 脆弱性が存在し,リモートの認証された攻撃者が XSS シーケンスとファイル拡張子を含む名前を持つファイルをアップロードすることで,任意のWeb スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2008-0455)
- Apache HTTP の mod_negotiation モジュールには CRLF インジェクション脆弱性が存在し,HTTP ヘッダシーケンスとファイル拡張子を含む複数行の名前を持つファイルをアップロードすることにより,リモートの認証されたユーザが任意の HTTP ヘッダを注入し,HTTP レスポンススプリット攻撃を行う脆弱性があります。(CVE-2008-0456)
- Apache HTTP サーバの mod_negotiation モジュールの mod_negotiation.c の make_variant_list 関数には複数のクロスサイトスクリプティング (XSS) 脆弱性が存在し,巧妙に細工されたファイル名によってリモートの攻撃者が任意の Web スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2012-2687)
[Bug Fix]
- "mod_ssl" パッケージの "%post" スクリプトを実行する前に /etc/pki/tls/private/localhost.key ファイルが妥当なキーかチェックしておらず,/etc/pki/tls/certs/localhost.crt が存在していない場合と "localhost.key " が存在していても不正なキーの場合,mod_ssl パッケージと Apache HTTP デーモン (httpd) のアップグレードに失敗してしまう問題を修正しました。
- "mod_ssl" モジュールが FIPS モードでの操作をサポートしておらず,FIPS モードが有効な場合,httpd の開始に失敗する問題を修正しました。
- "service httpd reload" を実行し,実行に失敗すると終了ステータスコードに "0" を返してしまう問題を修正しました。
- Apache サーバが 32バイト以上の値の "chunk-size" あるいは "chunk-extension" 値を持つ chunked encoded POST リクエストを処理できず,POST リクエストでサーバが反応しなくなる問題を修正しました。
- mod_cache がキャッシュできない 304 レスポンスを受け取った場合,ヘッダが誤って機能し,データが圧縮されていることを示すためのキャッシュされたヘッダなしで,圧縮されたデータがクライアントに返される問題を修正しました。
- プロキシの設定で特定の response-line 文字列が処理されず, "description" 文字列なしの response-line をオリジンサーバから受け取った場合に "500 Internal Server Error" がクライアントに返される問題を修正しました。
- "mod_mem_cache" モジュールにバグが存在し,HTTP コネクションがアボートしてしまうとキャッシュされたエンティティが壊れてしまう問題を修正しました。
[Enhancement]
- 以前導入された "LDAPChaseReferrals" に加えて "LDAPReferrals" ディレクティブがサポートされました。
- "mod_proxy", "mod_proxy_ajp" の AJP サポートモジュールが "ProxyErrorOverride" ディレクトリをサポートするようになり,AJP 経由でアクセスされるバックエンドサーバ上で実行される Web アプリケーションのエラーページをカスタマイズできるようになりました。
- アップグレード後に httpd サービスを自動的に再起動する "%posttrans" スクリプトレットが無効にされました。
- "httpd -S" の出力がおのおののバーチャルホストの設定されたエイリアス名を含むようになりました。
- "_DN_userID" 接尾辞を使用することで "mod_ssl" で "certificate variable name" が表示されるようになりました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
Cross-site scripting (XSS) vulnerability in the mod_negotiation module in the Apache HTTP Server 2.2.6 and earlier in the 2.2.x series, 2.0.61 and earlier in the 2.0.x series, and 1.3.39 and earlier in the 1.3.x series allows remote authenticated users to inject arbitrary web script or HTML by uploading a file with a name containing XSS sequences and a file extension, which leads to injection within a (1) "406 Not Acceptable" or (2) "300 Multiple Choices" HTTP response when the extension is omitted in a request for the file.
CRLF injection vulnerability in the mod_negotiation module in the Apache HTTP Server 2.2.6 and earlier in the 2.2.x series, 2.0.61 and earlier in the 2.0.x series, and 1.3.39 and earlier in the 1.3.x series allows remote authenticated users to inject arbitrary HTTP headers and conduct HTTP response splitting attacks by uploading a file with a multi-line name containing HTTP header sequences and a file extension, which leads to injection within a (1) "406 Not Acceptable" or (2) "300 Multiple Choices" HTTP response when the extension is omitted in a request for the file.
Multiple cross-site scripting (XSS) vulnerabilities in the make_variant_list function in mod_negotiation.c in the mod_negotiation module in the Apache HTTP Server 2.4.x before 2.4.3, when the MultiViews option is enabled, allow remote attackers to inject arbitrary web script or HTML via a crafted filename that is not properly handled during construction of a variant list.
N/A
SRPMS
- httpd-2.2.3-76.0.1.AXS3.src.rpm
MD5: aaa5f72a51033e30b4c178cbdf8a122d
SHA-256: f48464f2819472ab4af23bdae802475a522403e85d7d7d697a27edae927014b0
Size: 6.28 MB
Asianux Server 3 for x86
- httpd-2.2.3-76.0.1.AXS3.i386.rpm
MD5: 7be4d08c9193d146409e58ceaaca1a2c
SHA-256: a046e8a47250ca1139e3261cd60d03bcb9fd7d27bc7575e8fbd4bc632bc58c70
Size: 1.13 MB - httpd-devel-2.2.3-76.0.1.AXS3.i386.rpm
MD5: 83b66320f6ae9cecc55ba43f8792a5d4
SHA-256: db6c3844bd5e9ae554ca3860868547656f1774aa70d1e96ff395befa2e35d7c6
Size: 156.29 kB - httpd-manual-2.2.3-76.0.1.AXS3.i386.rpm
MD5: 280539e58503183a160c0782638a65c0
SHA-256: 96384d5d14a999c1671f78a2b9d06daee0b557502a6103c8236f8dd5470618c6
Size: 827.62 kB - mod_ssl-2.2.3-76.0.1.AXS3.i386.rpm
MD5: 2ece7ce6a858bdbeb7713e5055a7729b
SHA-256: 2ce4c3932e6685574b3b50b262ad6a7855319d04bd98aff8dd50ba466064f099
Size: 96.77 kB
Asianux Server 3 for x86_64
- httpd-2.2.3-76.0.1.AXS3.x86_64.rpm
MD5: 2dc5222ad8ad1d4335efedea93fe90ea
SHA-256: 781229abcf6a8db76d282b8baaff355a6ee4a21164bb8bc5ff1e580c1e2fa898
Size: 1.14 MB - httpd-devel-2.2.3-76.0.1.AXS3.x86_64.rpm
MD5: 8187d0938f8062f6316ce5fca77aeb7c
SHA-256: 385a91fbbdcc3d3d37ad774ecf2bf52bcb775c41fc8f8bdad05af8297e51e9d8
Size: 156.29 kB - httpd-manual-2.2.3-76.0.1.AXS3.x86_64.rpm
MD5: 1889f9392df2dcf6299f6e83969b4256
SHA-256: 51479f20732326a9f5a8fb86691352c6210949989f2df05fcc11a39e256b63c3
Size: 827.66 kB - mod_ssl-2.2.3-76.0.1.AXS3.x86_64.rpm
MD5: cc03c4ca5623e15a71fd2e1850321f16
SHA-256: 731530f6e4b71eb04a25b0b6020e6ed0dd5782401080bebef476332f07553c51
Size: 97.58 kB