Skip to content

サポート   >  セキュリティー&アップデート/ERRATA
 

Apacheとmod_sslパッケージのアップデート

アドバイスID: RHSA-2003:243-07
最終更新日: 2003-09-22
影響のあるプロダクト: Red Hat Linux 7.1
Red Hat Linux 7.2
Red Hat Linux 7.3
CVEs (cve.mitre.org): CAN-2003-0020
CAN-2003-0192

Security Advisory   セキュリティ・アドバイス

概要:

Updated Apache and mod_ssl packages that fix several minor security issues
are now available for Red Hat Linux 7.1, 7.2, and 7.3.

The Apache HTTP server is a powerful, full-featured, efficient, and
freely-available Web server.

Ben Laurie found a bug in the optional renegotiation code in mod_ssl
which can cause cipher suite restrictions to be ignored. This is triggered
if optional renegotiation is used (SSLOptions +OptRenegotiate) along with
verification of client certificates and a change to the cipher suite over
the renegotiation. The Common Vulnerabilities and Exposures project
(cve.mitre.org) has assigned the name CAN-2003-0192 to this issue.

Apache does not filter terminal escape sequences from its error logs, which
could make it easier for attackers to insert those sequences into terminal
emulators containing vulnerabilities related to escape sequences. The
Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned
the name CAN-2003-0020 to this issue.

It is possible to get Apache 1.3 to get into an infinite loop handling
internal redirects and nested subrequests. A patch for this issue adds a
new LimitInternalRecursion directive.

All users of the Apache HTTP Web Server are advised to upgrade to the
applicable errata packages, which contain back-ported fixes correcting
these issues.

After the errata packages are installed, restart the Web service by running
the following command:

/sbin/service httpd restart

アップデート・パッケージ:

Red Hat Linux 7.1
SRPMS:
apache-1.3.27-2.7.1.src.rpm
[ via FTP ] [ via HTTP ]		     f197c629453e162ebf1a8a9fa27ab798
mod_ssl-2.8.12-2.7.src.rpm
[ via FTP ] [ via HTTP ]		     2bb3043fe65f7e5b4051fa51fa259c9c
 
i386:
apache-1.3.27-2.7.1.i386.rpm
[ via FTP ] [ via HTTP ]		     0d64a821ceb6a18ec3c551015ffaecc2
apache-devel-1.3.27-2.7.1.i386.rpm
[ via FTP ] [ via HTTP ]		     6c0826aa00722236ef84e3fb1d7a3b2d
apache-manual-1.3.27-2.7.1.i386.rpm
[ via FTP ] [ via HTTP ]		     b542d3e0cb43d4baa70ec564dba2ddf8
mod_ssl-2.8.12-2.7.i386.rpm
[ via FTP ] [ via HTTP ]		     a3dff92085849cd597ce65655b048de1
 
Red Hat Linux 7.2
SRPMS:
apache-1.3.27-2.7.2.src.rpm
[ via FTP ] [ via HTTP ]		     acdcd860d21a442da7c87901f8fcacf1
mod_ssl-2.8.12-3.src.rpm
[ via FTP ] [ via HTTP ]		     b5b4f0f56e6517b8ea1f844e8bbc781d
 
i386:
apache-1.3.27-2.7.2.i386.rpm
[ via FTP ] [ via HTTP ]		     d8d6d8a31e08e93b7e1d7c2c54cdca66
apache-devel-1.3.27-2.7.2.i386.rpm
[ via FTP ] [ via HTTP ]		     a75457af20ef5ac7f801c16a41c11dd5
apache-manual-1.3.27-2.7.2.i386.rpm
[ via FTP ] [ via HTTP ]		     f0e4ba3b547a3db09a01cb293d624cb2
mod_ssl-2.8.12-3.i386.rpm
[ via FTP ] [ via HTTP ]		     5cd0f10d7e8872625183fd6f1c8d6f47
 
ia64:
apache-1.3.27-2.7.2.ia64.rpm
[ via FTP ] [ via HTTP ]		     6aa40d6ca82e9943a260e38350101995
apache-devel-1.3.27-2.7.2.ia64.rpm
[ via FTP ] [ via HTTP ]		     7df30828fdd2d04320e24e5719665c66
apache-manual-1.3.27-2.7.2.ia64.rpm
[ via FTP ] [ via HTTP ]		     00e251842cdf3ba774fee104daf609ed
mod_ssl-2.8.12-3.ia64.rpm
[ via FTP ] [ via HTTP ]		     bd71f84c890c80daf587e45a1b782249
 
Red Hat Linux 7.3
SRPMS:
apache-1.3.27-3.src.rpm
[ via FTP ] [ via HTTP ]		     2e1f774bba76f3dadf3051aa6954413e
mod_ssl-2.8.12-3.src.rpm
[ via FTP ] [ via HTTP ]		     b5b4f0f56e6517b8ea1f844e8bbc781d
 
i386:
apache-1.3.27-3.i386.rpm
[ via FTP ] [ via HTTP ]		     b4bd3fb8dd33052899f661870c4dad16
apache-devel-1.3.27-3.i386.rpm
[ via FTP ] [ via HTTP ]		     67c0cc1567568ffdb4857a4049dcc6e7
apache-manual-1.3.27-3.i386.rpm
[ via FTP ] [ via HTTP ]		     2ada85a57c3c220a082ef8ce23e96bff
mod_ssl-2.8.12-3.i386.rpm
[ via FTP ] [ via HTTP ]		     5cd0f10d7e8872625183fd6f1c8d6f47
 

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

60281 - OPTIONS no longer respected in init.d/httpd for apache-1.3.22-2
72245 - service httpd reload problem

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0020
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0192
http://www.apacheweek.com/issues/03-07-11#security

キーワード:

Apache, APR, ASF, httpd


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。