Skip to content

サポート   >  セキュリティー&アップデート/ERRATA
 

Apacheパッケージのアップデート

アドバイスID:  RHSA-2001:126-29
最終更新日:  2002-01-15

Security Advisory   セキュリティ・アドバイス

概要:

Red Hat Linux 6.2, 7, 7.1, 7.2用に、アップデートされたApacheパッケージが利用可能となりました。これらのパッケージはApache Webサーバを1.3.22バージョンにアップグレード するもので、クライアントに対してインデックスファイルのコンテンツに代えてディレクト リのコンテンツリストを与えるかもしれないセキュリティバグを閉じ、エラーの場合などに、エラーメッセージを出します。

慎重に構築されたHTTPリクエストを使うことで、mod_negotiationとmod_dir 又は mod_autoindexのいずれかがロードされているサーバは、インデックスファイルがあるにも関わらず、ディレクトリのコンテンツがリストされてしまう場合がありました。

Common Vulnerabilities and Exposuresプロジェクト(cve.mitre.org)により、この問題はCAN-2001-0730とCAN-2001-0731と命名されています。

アップデート・パッケージ:

Red Hat Linux 6.2 Alpha
Outdated package: apache-1.3.22-0.6.alpha.rpm
Outdated by RHSA-2002:103		     a181a9ffff1759abbf42e05c824ddb2f
Outdated package: apache-devel-1.3.22-0.6.alpha.rpm
Outdated by RHSA-2002:103		     3360fda64d65cbf60a8634e7991e5a6d
Outdated package: apache-manual-1.3.22-0.6.alpha.rpm
Outdated by RHSA-2002:103		     f045b315ecc6a11e23131fa86e2d0a72
 
Red Hat Linux 6.2 Sparc
Outdated package: apache-1.3.22-0.6.sparc.rpm
Outdated by RHSA-2002:103		     ef85d7e0d44abd776d4b76a75553cc86
Outdated package: apache-devel-1.3.22-0.6.sparc.rpm
Outdated by RHSA-2002:103		     4eb62d0355f51df33e62ea6647a061ec
Outdated package: apache-manual-1.3.22-0.6.sparc.rpm
Outdated by RHSA-2002:103		     7138fb9b44085ee557d291c081e46d3c
 
Red Hat Linux 6.2 i386
Outdated package: apache-1.3.22-0.6.i386.rpm
Outdated by RHSA-2002:103		     dc567a3074e237efd73622596dfc2c13
Outdated package: apache-devel-1.3.22-0.6.i386.rpm
Outdated by RHSA-2002:103		     36b1dd6f65c83f3c47326ae976567ce3
Outdated package: apache-manual-1.3.22-0.6.i386.rpm
Outdated by RHSA-2002:103		     13d4d3822f4b2de1f198d5bc24884a8a
 
Red Hat Linux 7.0 Alpha
expat-1.95.1-1.alpha.rpm     4b4d4c5fdf897457c7286d2b4fd2ac39
expat-devel-1.95.1-1.alpha.rpm     aa8555291135f9b681d1d519f5fe5539
Outdated package: apache-1.3.22-1.7.1.alpha.rpm
Outdated by RHSA-2002:103		     8f8ea759a9ff2d61c60104ee9b3edc09
Outdated package: apache-devel-1.3.22-1.7.1.alpha.rpm
Outdated by RHSA-2002:103		     ea3bd3c37081fd9a303c8f656a31b52f
Outdated package: apache-manual-1.3.22-1.7.1.alpha.rpm
Outdated by RHSA-2002:103		     e6f023bd016b75e40e390b2cdf5fe77f
mm-1.1.3-2.alpha.rpm     13cfd219c25232decce6703c70419f4a
mm-devel-1.1.3-2.alpha.rpm     f9b26ec0d52c79444de07f10bceb2262
mod_bandwidth-2.0.3-2.alpha.rpm     3be3121fa4b5490a1ace387526cf2406
mod_put-1.3-2.alpha.rpm     25f1a3961b8c2aa6f2b63288535abc73
Outdated package: mod_ssl-2.8.5-0.7.alpha.rpm
Outdated by RHSA-2002:041		     b4b100f56cefc614b878a191fb5ed6f0
mod_throttle-3.1.2-3.alpha.rpm     d3f81d978bb81de0b2e357b79ade1d7e
 
Red Hat Linux 7.0 i386
expat-devel-1.95.1-1.i386.rpm     87978a5568dccb618c1646110443ad87
expat-1.95.1-1.i386.rpm     fb87db480ce7f5317f0464640b419e43
Outdated package: apache-1.3.22-1.7.1.i386.rpm
Outdated by RHSA-2002:103		     6bcd4368b5106127787cbac0248f669b
Outdated package: apache-devel-1.3.22-1.7.1.i386.rpm
Outdated by RHSA-2002:103		     052ac912ba5dd85f2f81a1dc0c7472fd
Outdated package: apache-manual-1.3.22-1.7.1.i386.rpm
Outdated by RHSA-2002:103		     26752f2274eec2d5e399d03a6f973ea7
mm-1.1.3-2.i386.rpm     bffbf64db212e970ad139b5e61dc4ad2
mm-devel-1.1.3-2.i386.rpm     541a185e0e63970cdbb573eb5afc6d45
mod_bandwidth-2.0.3-2.i386.rpm     414b7a5cb5a0153b9cd41c0b10a7c155
mod_put-1.3-2.i386.rpm     c1bc1dd8b81ed2669ea31a0338cf8e8d
Outdated package: mod_ssl-2.8.5-0.7.i386.rpm
Outdated by RHSA-2002:041		     ef3ec4f2b0775440f7b9f7b2274e5a3f
mod_throttle-3.1.2-3.i386.rpm     e80083a4d622f91d14125d291e542b24
 
Red Hat Linux 7.1 Alpha
expat-1.95.1-1.alpha.rpm     4b4d4c5fdf897457c7286d2b4fd2ac39
expat-devel-1.95.1-1.alpha.rpm     aa8555291135f9b681d1d519f5fe5539
Outdated package: apache-1.3.22-1.7.1.alpha.rpm
Outdated by RHSA-2002:103		     8f8ea759a9ff2d61c60104ee9b3edc09
Outdated package: apache-devel-1.3.22-1.7.1.alpha.rpm
Outdated by RHSA-2002:103		     ea3bd3c37081fd9a303c8f656a31b52f
Outdated package: apache-manual-1.3.22-1.7.1.alpha.rpm
Outdated by RHSA-2002:103		     e6f023bd016b75e40e390b2cdf5fe77f
mm-1.1.3-2.alpha.rpm     13cfd219c25232decce6703c70419f4a
mm-devel-1.1.3-2.alpha.rpm     f9b26ec0d52c79444de07f10bceb2262
mod_bandwidth-2.0.3-2.alpha.rpm     3be3121fa4b5490a1ace387526cf2406
mod_put-1.3-2.alpha.rpm     25f1a3961b8c2aa6f2b63288535abc73
Outdated package: mod_ssl-2.8.5-0.7.alpha.rpm
Outdated by RHSA-2002:041		     b4b100f56cefc614b878a191fb5ed6f0
mod_throttle-3.1.2-3.alpha.rpm     d3f81d978bb81de0b2e357b79ade1d7e
 
Red Hat Linux 7.1 i386
expat-devel-1.95.1-1.i386.rpm     87978a5568dccb618c1646110443ad87
expat-1.95.1-1.i386.rpm     fb87db480ce7f5317f0464640b419e43
Outdated package: apache-1.3.22-1.7.1.i386.rpm
Outdated by RHSA-2002:103		     6bcd4368b5106127787cbac0248f669b
Outdated package: apache-devel-1.3.22-1.7.1.i386.rpm
Outdated by RHSA-2002:103		     052ac912ba5dd85f2f81a1dc0c7472fd
Outdated package: apache-manual-1.3.22-1.7.1.i386.rpm
Outdated by RHSA-2002:103		     26752f2274eec2d5e399d03a6f973ea7
mm-1.1.3-2.i386.rpm     bffbf64db212e970ad139b5e61dc4ad2
mm-devel-1.1.3-2.i386.rpm     541a185e0e63970cdbb573eb5afc6d45
mod_bandwidth-2.0.3-2.i386.rpm     414b7a5cb5a0153b9cd41c0b10a7c155
mod_put-1.3-2.i386.rpm     c1bc1dd8b81ed2669ea31a0338cf8e8d
Outdated package: mod_ssl-2.8.5-0.7.i386.rpm
Outdated by RHSA-2002:041		     ef3ec4f2b0775440f7b9f7b2274e5a3f
mod_throttle-3.1.2-3.i386.rpm     e80083a4d622f91d14125d291e542b24
 
Red Hat Linux 7.1 ia64
Outdated package: apache-1.3.22-1.7.1.ia64.rpm
Outdated by RHSA-2002:103		     d72a44ce73899c1ae8502a4dac44977a
Outdated package: apache-devel-1.3.22-1.7.1.ia64.rpm
Outdated by RHSA-2002:103		     91d505625bfc721907beead7f79fa565
Outdated package: apache-manual-1.3.22-1.7.1.ia64.rpm
Outdated by RHSA-2002:103		     235d62371a30d4f8817ff873f8948dae
mm-1.1.3-2.ia64.rpm     93ebc06c4d160fd82430b983093e9f40
mm-devel-1.1.3-2.ia64.rpm     e31a027184bdc9a202994c57f9b96a10
mod_bandwidth-2.0.3-2.ia64.rpm     c091e03032e4f7d628e8bb2f706e66ab
mod_put-1.3-2.ia64.rpm     4678335e17b5e09c42d679480493f2a0
Outdated package: mod_ssl-2.8.5-0.7.ia64.rpm
Outdated by RHSA-2002:041		     1e5337f03080b9f28c951cc06fa7aa14
mod_throttle-3.1.2-3.ia64.rpm     47691815f0bad537d3305aa379083500
 
Red Hat Linux 7.2 i386
Outdated package: apache-1.3.22-2.i386.rpm
Outdated by RHSA-2002:103		     6dd421e90d6de5cb9a5ae25e428724e8
Outdated package: apache-devel-1.3.22-2.i386.rpm
Outdated by RHSA-2002:103		     19aa4f624d8263756374095b352c274a
Outdated package: apache-manual-1.3.22-2.i386.rpm
Outdated by RHSA-2002:103		     c352198baaeb451d6e1797458cfcad4e
Outdated package: mod_ssl-2.8.5-1.i386.rpm
Outdated by RHSA-2002:041		     cec3188aea446e454e92efcf9246abd5
 
Red Hat Linux 7.2 s390
Outdated package: apache-1.3.22-2.s390.rpm
Outdated by RHSA-2002:103		     94fbad043d55987ad3807aba33c9fabc
Outdated package: apache-devel-1.3.22-2.s390.rpm
Outdated by RHSA-2002:103		     8030bd8357ad4d34948ae0324ad15c91
Outdated package: apache-manual-1.3.22-2.s390.rpm
Outdated by RHSA-2002:103		     fcdc19d52780fc79e2cd8744575c5d02
mod_ssl-2.8.5-1.s390.rpm     e334cb1f9e6a09c7cb15cb1f7b0c13ff
 
SRPMs
expat-1.95.1-1.src.rpm     d0cbe11cfd0c2fad460d749a4afadf8f
Outdated package: apache-1.3.22-0.6.src.rpm
Outdated by RHSA-2002:103		     bc9a7598e452fd0a5e2b05173216ef81
Outdated package: apache-1.3.22-1.7.1.src.rpm
Outdated by RHSA-2002:103		     5cf136a2bfb482501254fa6630f9e6e8
mm-1.1.3-2.src.rpm     85f0ff3830d540a3235e2d7471ca2e27
mod_bandwidth-2.0.3-2.src.rpm     9cd99798f41854041ed50e5c2b9c9d4a
mod_put-1.3-2.src.rpm     392c6c20c9ca7d5ad437b91ea08bac2a
Outdated package: mod_ssl-2.8.5-0.7.src.rpm
Outdated by RHSA-2002:041		     4d9b105c543162987b6a0755080e73b1
mod_throttle-3.1.2-3.src.rpm     15398a5663f14b8e5babbb5309d6739c
Outdated package: apache-1.3.22-2.src.rpm
Outdated by RHSA-2002:103		     bf518904d1b4ef0edd07ce3a7dd34871
mod_ssl-2.8.5-1.src.rpm     bc734ceff3e2dee5d5a4ff230b5e8293
 

解決法:

Note: The updated apache (and apache-devel) packages for Red Hat Linux 7,
7.1, and 7.2 require installation of mm and expat (as well as mm-devel and
expat-devel for apache-devel). Because mm and expat were not previously
released for Red Hat Linux 7, and mm was not previously released for Red
Hat Linux 7.1, they will need to either be installed simultaneously with or
before the apache packages.

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。


バグジラ:  (詳細は、こちらbugzilla[英 語]を御覧ください 。)

34772 - Apache 1.3.14 breaks byterange functionality (hinders serving of PDFs)

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0730
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0731
http://www.apacheweek.com/issues/01-10-05#security
http://httpd.apache.org/dist/httpd/CHANGES_1.3
http://www.securityfocus.com/bid/3009


キーワード:

apache, directory, listing


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。