httpd24-httpd-2.4.18-11.AXS4

エラータID: AXSA:2016-567:01

リリース日: 
2016/07/19 Tuesday - 17:52
題名: 
httpd24-httpd-2.4.18-11.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Severity: 
High
Description: 

[修正内容]
以下項目について対処しました。

[Security Fix]
- Apache HTTP Server には、mod_http2 と mod_ssl が有効になっている場合、HTTP/2 リクエスト証明書の "SSLVerifyClient require" ディレクティブ を適切に認識しておらず、単一のコネクションで複数のリクエストを送信できることと、再ネゴシエーションの中断を利用して、リモートの攻撃者がアクセス制限を回避する脆弱性があります。(CVE-2016-4979)

- Apache HTTP Server には、RFC 3875 section 4.1.18 に従い、HTTP_PROXY 環境変数内の信頼されないクライアントデータからのアプリケーションの保護を行っていないため、リモートの攻撃者が、HTTP リクエストの細工されたプロキシヘッダによって、アプリケーションのアウトバウンド HTTP トラフィックから任意のプロキシサーバーにリダイレクトする可能性のある脆弱性があります。(CVE-2016-5387)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-4979
The Apache HTTP Server 2.4.18 through 2.4.20, when mod_http2 and mod_ssl are enabled, does not properly recognize the "SSLVerifyClient require" directive for HTTP/2 request authorization, which allows remote attackers to bypass intended access restrictions by leveraging the ability to send multiple requests over a single connection and aborting a renegotiation.
CVE-2016-5387
The Apache HTTP Server through 2.4.23 follows RFC 3875 section 4.1.18 and therefore does not protect applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect an application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. NOTE: the vendor states "This mitigation has been assigned the identifier CVE-2016-5387"; in other words, this is not a CVE ID for a vulnerability.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. httpd24-httpd-2.4.18-11.AXS4.src.rpm
    MD5: 463545fc84e41c1336f3dd32b7bae5ce
    SHA-256: cbe509a7cf461f94c7620dac1f4ea71a166df009e5b9d2806208b69818d099c7
    Size: 5.03 MB

Asianux Server 4 for x86_64
  1. httpd24-httpd-2.4.18-11.AXS4.x86_64.rpm
    MD5: d5c704f02287e96602ca019fc0501cbb
    SHA-256: 53647f518a80528fafc49b5f4cc924e207dcd07caf554d9717984de52d0b33a6
    Size: 1.18 MB
  2. httpd24-httpd-devel-2.4.18-11.AXS4.x86_64.rpm
    MD5: ea3e60a9b8412df8833ff8644c15d958
    SHA-256: 4338faa9d562c7a4dfa26d36a242b9fd2b35c10ef2a08a0e387a3527f5a81535
    Size: 196.40 kB
  3. httpd24-httpd-manual-2.4.18-11.AXS4.noarch.rpm
    MD5: 5243fdb399af84e2fdfa51363ae5cac2
    SHA-256: 2a3b6b200e4a175bf2c919bba75251ae4d0549326fff3b4f9e09263bdd446db6
    Size: 1.42 MB
  4. httpd24-httpd-tools-2.4.18-11.AXS4.x86_64.rpm
    MD5: af1aa06d362482fb09579e5862990ec1
    SHA-256: 0cc2f0ac3d4ef31a1e6f0232c17ae9bd26a50585033df5acbe0ffa3d25837045
    Size: 77.30 kB
  5. httpd24-mod_ldap-2.4.18-11.AXS4.x86_64.rpm
    MD5: 41bbf859b00d9224ac613b62cb906298
    SHA-256: 7518c3bee1be08607a6ca059bc42d5297397a34063e341dd0f2e45d2110ff1fe
    Size: 61.13 kB
  6. httpd24-mod_proxy_html-2.4.18-11.AXS4.x86_64.rpm
    MD5: 2a07e773a34d74595be9463283aa3265
    SHA-256: b55ce4766c5cd5c6edd6f43b65dfa8f109ab072e1ef6576d6e3354efbe55a765
    Size: 39.35 kB
  7. httpd24-mod_session-2.4.18-11.AXS4.x86_64.rpm
    MD5: e8ef03a34f5990f993a53207983a3ba9
    SHA-256: 21e87b8d8e830c99d68d609afe5876ff4e545ab24ba71add082a92b9a41f856d
    Size: 46.15 kB
  8. httpd24-mod_ssl-2.4.18-11.AXS4.x86_64.rpm
    MD5: 0a0a94aed22945d3f7b7523c7e8c065f
    SHA-256: e27d52d71352feab05a30dd1558975c7a93ed220fe44f25c378f1f918a7fd67e
    Size: 100.95 kB