httpd24-httpd-2.4.18-11.el7

エラータID: AXSA:2016-572:01

リリース日:

2016/07/20 Wednesday - 20:43

題名:

影響のあるチャネル:

Asianux Server 7 for x86_64

Severity:

High

Description:

[修正内容]
以下項目について対処しました。

[Security Fix]
- Apache HTTP Server には、mod_http2 と mod_ssl が有効になっている場合、HTTP/2 リクエスト証明書の "SSLVerifyClient require" ディレクティブを適切に認識しておらず、単一のコネクションで複数のリクエストを送信できることと、再ネゴシエーションの中断を利用して、リモートの攻撃者がアクセス制限を回避する脆弱性があります。(CVE-2016-4979)

- Apache HTTP Server には、RFC 3875 section 4.1.18 に従い、HTTP_PROXY 環境変数内の信頼されないクライアントデータからのアプリケーションの保護を行っていないため、リモートの攻撃者が、HTTP リクエストの細工されたプロキシヘッダによって、アプリケーションのアウトバウンド HTTP トラフィックから任意のプロキシサーバーにリダイレクトする可能性のある脆弱性があります。(CVE-2016-5387)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策:

パッケージをアップデートしてください。

CVE:

CVE-2016-4979
The Apache HTTP Server 2.4.18 through 2.4.20, when mod_http2 and mod_ssl are enabled, does not properly recognize the "SSLVerifyClient require" directive for HTTP/2 request authorization, which allows remote attackers to bypass intended access restrictions by leveraging the ability to send multiple requests over a single connection and aborting a renegotiation.

CVE-2016-5387
The Apache HTTP Server through 2.4.23 follows RFC 3875 section 4.1.18 and therefore does not protect applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect an application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. NOTE: the vendor states "This mitigation has been assigned the identifier CVE-2016-5387"; in other words, this is not a CVE ID for a vulnerability.

追加情報:

N/A

ダウンロード:

SRPMS

httpd24-httpd-2.4.18-11.el7.src.rpm
MD5: 6bb29a47e1ace3d05a769562dfb1b5bc
SHA-256: f3cae7890292f90fb2cee629e40146197a56052a1a49c861a0ae8f2891cc58e6
Size: 5.03 MB

Asianux Server 7 for x86_64

httpd24-httpd-2.4.18-11.el7.x86_64.rpm
MD5: 36ad931d7221a023a3f06fb280e85aa0
SHA-256: 27e5ce8148b4e3b466a08775e3c23af70bf5e4bac13b654227f47caca7f335ee
Size: 1.28 MB
httpd24-httpd-devel-2.4.18-11.el7.x86_64.rpm
MD5: 9f08cbd93438dc1ccfa0402ae8dac923
SHA-256: 43fcb71ea1256fc881bf2f6f7dc06972e803f314ea0bfbe4369d5c6a3a6ba561
Size: 193.98 kB
httpd24-httpd-manual-2.4.18-11.el7.noarch.rpm
MD5: 5c5b56b6d1c118c04c48f10cc1f39c2f
SHA-256: bea10c606aeac433b4ce1d731ab4db6111499568126b289e15648a574ef10aae
Size: 1.37 MB
httpd24-httpd-tools-2.4.18-11.el7.x86_64.rpm
MD5: 720ea824219a361dc7c0d593c271ccaa
SHA-256: 856ca3a4a09df9300719c0e5561a449659fb34f98604616d4dd8cd86559512f2
Size: 81.96 kB
httpd24-mod_ldap-2.4.18-11.el7.x86_64.rpm
MD5: 083c84c3617ff46e9ed0d751fb09d01f
SHA-256: e2d9ef136da7bf3bbdc545b00c9e0a3b03ad91eeb3a0fb7f105e37653c641997
Size: 63.42 kB
httpd24-mod_proxy_html-2.4.18-11.el7.x86_64.rpm
MD5: f9dfa85f713be27f9df8f6a5b385b6c5
SHA-256: 70bed7198538101d4b0e4cdb98c8104a5410a1c512d0ecb3850a3e0fc9c4b1a9
Size: 41.16 kB
httpd24-mod_session-2.4.18-11.el7.x86_64.rpm
MD5: d310b332b3a65b4b76128248415dc72a
SHA-256: 8cf63b47e9be376fc9883d303fab18787fa9e6202ddb22bc135a20dffbb2ee14
Size: 51.47 kB
httpd24-mod_ssl-2.4.18-11.el7.x86_64.rpm
MD5: b68f8ed65b0e7b72286cebd6b1dc9275
SHA-256: a4bbaa57f7ecef018e31a0faff6d7c2800dac65dbee627399cab1bbd409bbffc
Size: 103.26 kB

English

Main menu

You are here

httpd24-httpd-2.4.18-11.el7