httpd-2.2.3-76.0.1.AXS3

以下項目について対処しました。

[Security Fix]
- Apache HTTP サーバの mod_negotiation モジュールには クロスサイトスクリプティング (XSS) 脆弱性が存在し，リモートの認証された攻撃者が XSS シーケンスとファイル拡張子を含む名前を持つファイルをアップロードすることで，任意のWeb スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2008-0455)

- Apache HTTP の mod_negotiation モジュールには CRLF インジェクション脆弱性が存在し，HTTP ヘッダシーケンスとファイル拡張子を含む複数行の名前を持つファイルをアップロードすることにより，リモートの認証されたユーザが任意の HTTP ヘッダを注入し，HTTP レスポンススプリット攻撃を行う脆弱性があります。(CVE-2008-0456)

- Apache HTTP サーバの mod_negotiation モジュールの mod_negotiation.c の make_variant_list 関数には複数のクロスサイトスクリプティング (XSS) 脆弱性が存在し，巧妙に細工されたファイル名によってリモートの攻撃者が任意の Web スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2012-2687)

[Bug Fix]
- "mod_ssl" パッケージの "%post" スクリプトを実行する前に /etc/pki/tls/private/localhost.key ファイルが妥当なキーかチェックしておらず，/etc/pki/tls/certs/localhost.crt が存在していない場合と "localhost.key " が存在していても不正なキーの場合，mod_ssl パッケージと Apache HTTP デーモン (httpd) のアップグレードに失敗してしまう問題を修正しました。

- "mod_ssl" モジュールが FIPS モードでの操作をサポートしておらず，FIPS モードが有効な場合，httpd の開始に失敗する問題を修正しました。

- "service httpd reload" を実行し，実行に失敗すると終了ステータスコードに "0" を返してしまう問題を修正しました。

- Apache サーバが 32バイト以上の値の "chunk-size" あるいは "chunk-extension" 値を持つ chunked encoded POST リクエストを処理できず，POST リクエストでサーバが反応しなくなる問題を修正しました。

- mod_cache がキャッシュできない 304 レスポンスを受け取った場合，ヘッダが誤って機能し，データが圧縮されていることを示すためのキャッシュされたヘッダなしで，圧縮されたデータがクライアントに返される問題を修正しました。

- プロキシの設定で特定の response-line 文字列が処理されず， "description" 文字列なしの response-line をオリジンサーバから受け取った場合に "500 Internal Server Error" がクライアントに返される問題を修正しました。

- "mod_mem_cache" モジュールにバグが存在し，HTTP コネクションがアボートしてしまうとキャッシュされたエンティティが壊れてしまう問題を修正しました。

[Enhancement]
- 以前導入された "LDAPChaseReferrals" に加えて "LDAPReferrals" ディレクティブがサポートされました。

- "mod_proxy", "mod_proxy_ajp" の AJP サポートモジュールが "ProxyErrorOverride" ディレクトリをサポートするようになり，AJP 経由でアクセスされるバックエンドサーバ上で実行される Web アプリケーションのエラーページをカスタマイズできるようになりました。

- アップグレード後に httpd サービスを自動的に再起動する "%posttrans" スクリプトレットが無効にされました。

- "httpd -S" の出力がおのおののバーチャルホストの設定されたエイリアス名を含むようになりました。

- "_DN_userID" 接尾辞を使用することで "mod_ssl" で "certificate variable name" が表示されるようになりました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/