Skip to content

サポート   >  セキュリティー&アップデート/ERRATA
 

mod_sslのセキュリティ問題を修正したhttpdのアップデート パッケージ

アドバイスID: RHSA-2004:084-14
最終更新日: 2004-03-23
影響のあるプロダクト: Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux WS (v. 3)
CVEs (cve.mitre.org): CAN-2004-0113

Security Advisory   セキュリティ・アドバイス

概要:

mod_sslにおけるサービス拒否攻撃に対する脆弱性およびその他のバグを修正した、httpdのアップデート パッケージが利用可能になりました。

Apache HTTPサーバーは強力、フル機能、高効率、無償のWebサーバーです。

バージョン2.0.49以前のApache HTTPサーバーのmod_sslにメモリ リークがあり、SSLを有効にしているサーバーに対して、リモートからのサービス拒否攻撃が可能になります。"Common Vulnerabilities and Exposures"プロジェクト(cve.mitre.org)により、この問題はCAN-2004-0113と命名されています。

また、このアップデートには以下のバグ修正も含まれています。

- mod_expires、mod_dav、mod_ssl、mod_proxyの各モジュールの改良

- IA64プラットフォームでの構成解析中にコアダンプを発生させるバグの修正

- SSIパーサの複数のエッジ ケースを修正したmod_includeのアップデート バージョン

さらにmod_logioも含まれています。

Apache HTTPサーバーのユーザーは、これらの問題に対処したバックポート パッチを含む、上記アップデート パッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Enterprise Linux AS (v. 3)
SRPMS:
httpd-2.0.46-32.ent.src.rpm     0578bb679d25664d60a396216751c52b
 
i386:
httpd-2.0.46-32.ent.i386.rpm     a4e26276faa96ae744b8584dfca9d0a8
httpd-devel-2.0.46-32.ent.i386.rpm     f16f311cb4a04b0eebfc0fb05841f4b1
mod_ssl-2.0.46-32.ent.i386.rpm     c83676811d1ad92f94332defca06562d
 
ia64:
httpd-2.0.46-32.ent.ia64.rpm     88f10b3263638bad5f25d8e2f466f577
httpd-devel-2.0.46-32.ent.ia64.rpm     1f64367942fe38a883716f907aafdd2e
mod_ssl-2.0.46-32.ent.ia64.rpm     fc2b50541e485d2b8c67c3ddc28596ab
 
ppc:
httpd-2.0.46-32.ent.ppc.rpm     e5784963d08a8f2a1b1c2ebca88b495a
httpd-devel-2.0.46-32.ent.ppc.rpm     7f0c9424b7f5cda0a021cf3fb0f5dd80
mod_ssl-2.0.46-32.ent.ppc.rpm     bb809b4751b8d1bcdbfba8402b79de75
 
ppc64:
httpd-2.0.46-32.ent.ppc64.rpm     6baf583f19a9f90d57e30fe8719c2fed
httpd-devel-2.0.46-32.ent.ppc64.rpm     e0df7bcb18320e5d5e18f1d15f4e8848
mod_ssl-2.0.46-32.ent.ppc64.rpm     5cd9bca47c0fd7593d24a23cfdefe492
 
s390:
httpd-2.0.46-32.ent.s390.rpm     d31e82269a2b465b04871ef442fbf2d5
httpd-devel-2.0.46-32.ent.s390.rpm     6306426ed7de562c25f431a7f46bd893
mod_ssl-2.0.46-32.ent.s390.rpm     5da65fff9b14a7f4d39c9550bafda627
 
s390x:
httpd-2.0.46-32.ent.s390x.rpm     20ffb2d9fbdfdc4b9c31d3568f2db55c
httpd-devel-2.0.46-32.ent.s390x.rpm     20bebf1f27b1dcac4691292bb7689dc2
mod_ssl-2.0.46-32.ent.s390x.rpm     be4e2faaa60b8ecbe22dc79342df1e07
 
x86_64:
httpd-2.0.46-32.ent.x86_64.rpm     c4109535a41be2dbdd7f522f1a70e4a7
httpd-devel-2.0.46-32.ent.x86_64.rpm     f95dc1f95b509ef64666c232c1758b92
mod_ssl-2.0.46-32.ent.x86_64.rpm     37dff057ab1b6ddc96488e207c5bbc22
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
httpd-2.0.46-32.ent.src.rpm     0578bb679d25664d60a396216751c52b
 
i386:
httpd-2.0.46-32.ent.i386.rpm     a4e26276faa96ae744b8584dfca9d0a8
httpd-devel-2.0.46-32.ent.i386.rpm     f16f311cb4a04b0eebfc0fb05841f4b1
mod_ssl-2.0.46-32.ent.i386.rpm     c83676811d1ad92f94332defca06562d
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
httpd-2.0.46-32.ent.src.rpm     0578bb679d25664d60a396216751c52b
 
i386:
httpd-2.0.46-32.ent.i386.rpm     a4e26276faa96ae744b8584dfca9d0a8
httpd-devel-2.0.46-32.ent.i386.rpm     f16f311cb4a04b0eebfc0fb05841f4b1
mod_ssl-2.0.46-32.ent.i386.rpm     c83676811d1ad92f94332defca06562d
 
ia64:
httpd-2.0.46-32.ent.ia64.rpm     88f10b3263638bad5f25d8e2f466f577
httpd-devel-2.0.46-32.ent.ia64.rpm     1f64367942fe38a883716f907aafdd2e
mod_ssl-2.0.46-32.ent.ia64.rpm     fc2b50541e485d2b8c67c3ddc28596ab
 
x86_64:
httpd-2.0.46-32.ent.x86_64.rpm     c4109535a41be2dbdd7f522f1a70e4a7
httpd-devel-2.0.46-32.ent.x86_64.rpm     f95dc1f95b509ef64666c232c1758b92
mod_ssl-2.0.46-32.ent.x86_64.rpm     37dff057ab1b6ddc96488e207c5bbc22
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

112771 - Invalid paths in config_vars.mk crash build of mod_jk
113929 - mod_expires headers not set when used in conjunction with mod_proxy
113934 - SRPMS: test for MMN version it too fragile
115328 - Satisfy keyword in httpd.conf causes apache to segfault on load
115379 - pcre conflict between httpd and php
117280 - CAN-2004-0113 mod_ssl Denial of Service attack

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0113
http://nagoya.apache.org/bugzilla/show_bug.cgi?id=27106
http://www.apacheweek.com/features/security-20

キーワード:

tcp_wrappers, vsftpd


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。