 |
中(Moderate):httpdのセキュリティアップデート
| アップデートID: | RHSA-2007:0556-2 |
|---|---|
| タイプ: | Security Advisory |
| 重大性: | Moderate |
| 発行日: | 2007年6月26日 |
| 最終更新日: | 2007年6月26日 |
| 影響のある製品: |
RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) |
| OVAL: | https://rhn.redhat.com/errata/RHSA-2007-0556.html |
| CVEs (cve.mitre.org): |
CVE-2006-5752 CVE-2007-1863 CVE-2007-3304 |
詳細
3つのセキュリティ問題を修正したApache httpdのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。
Apache HTTP Serverは、広く使用されているWebサーバです。
Apache HTTP Serverによって信号が送られる前に、プロセスがApacheの子プロセスであることが確認されていませんでした。Apache HTTP Serverでスクリプトを実行できる攻撃者が、リモートからスコアボードを操作して任意のプロセスを終了できるため、サービス拒否が引き起こされる可能性があります。(CVE-2007-3304) デフォルトのSELinux targetedポリシーが使用されている場合、この問題は、Red Hat Enterprise Linux 5では悪用できません。
Apache HTTP Serverのmod_statusモジュールで欠陥が見つかりました。server-statusページが公開され、ExtendedStatusが有効になっているサイトでは、この欠陥 のために、クロスサイトスクリプティング攻撃を受ける可能性があります。Red Hat Enterprise Linuxでは、server-statusページはデフォルトでは有効になっておらず、このページを公開しないことがベストプラクティスです。(CVE-2006-5752)
Apache HTTP Serverのmod_cacheモジュールでバグが見つかりました。キャッシングが有効になっているサイトでは、リモートから要求を送信することにより、それを処理するApacheの子プロセスをクラッシュさせることが可能です。スレッド方式のマルチプロセッシングモジュールを使用している場合、これによってサービス拒否が引き起こされることもあります。(CVE-2007-1863)
httpdのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。ユーザは、このアップデートをインストールしたあとにApacheを再起動する必要があります。
解決法
このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。
このアップデートは、Red Hat Networkを通じて入手できます。
アップデートパッケージ
| RHEL Desktop Workstation (v. 5 client) | |
| IA-32: | |
| httpd-devel-2.2.3-7.el5.i386.rpm | 4d771ee9d3cdd6d76cdb5d20ce4affde |
| httpd-manual-2.2.3-7.el5.i386.rpm | 78a2181238e9385797030f7fcb320f2f |
| x86_64: | |
| httpd-devel-2.2.3-7.el5.i386.rpm | 4d771ee9d3cdd6d76cdb5d20ce4affde |
| httpd-devel-2.2.3-7.el5.x86_64.rpm | 6d7976d018d99369fa452f55c8e36e16 |
| httpd-manual-2.2.3-7.el5.x86_64.rpm | 0881f41d5413aedce4e0d70b15d642a3 |
| Red Hat Enterprise Linux (v. 5 server) | |
| SRPMS: | |
| httpd-2.2.3-7.el5.src.rpm | ad994b03f478915b23379e3e341ee9ee |
| IA-32: | |
| httpd-2.2.3-7.el5.i386.rpm | 74ee3f1249eb3d86fba24c83279b3445 |
| httpd-devel-2.2.3-7.el5.i386.rpm | 4d771ee9d3cdd6d76cdb5d20ce4affde |
| httpd-manual-2.2.3-7.el5.i386.rpm | 78a2181238e9385797030f7fcb320f2f |
| mod_ssl-2.2.3-7.el5.i386.rpm | 0c8fa982385e4b9588afc1070aece01f |
| IA-64: | |
| httpd-2.2.3-7.el5.ia64.rpm | 248a7a7327a1d08f178cc0db02a0477b |
| httpd-devel-2.2.3-7.el5.ia64.rpm | 621cce79561aae4978f3332b48229e1d |
| httpd-manual-2.2.3-7.el5.ia64.rpm | fece7006a9de5f39bafae7e39204f9ff |
| mod_ssl-2.2.3-7.el5.ia64.rpm | d900b71ead1aa45770aa2da8a3d8f28f |
| PPC: | |
| httpd-2.2.3-7.el5.ppc.rpm | 19236403d523300c53abdfa46d84bd7b |
| httpd-devel-2.2.3-7.el5.ppc.rpm | c1d40be71634c12acbae45f45b2f5f40 |
| httpd-devel-2.2.3-7.el5.ppc64.rpm | 02f42d084e9d2c55fd14a38970539367 |
| httpd-manual-2.2.3-7.el5.ppc.rpm | 83caccb359054de19d8771e5f777d00b |
| mod_ssl-2.2.3-7.el5.ppc.rpm | 428fe3736e2e020b098564f3dca46b23 |
| s390x: | |
| httpd-2.2.3-7.el5.s390x.rpm | 71ff846b806df174796d7e04c52f6dc2 |
| httpd-devel-2.2.3-7.el5.s390.rpm | 277d59988d338a6034ed6777aeac5457 |
| httpd-devel-2.2.3-7.el5.s390x.rpm | 88fbf78dc487fd3c9f938709a6f65d48 |
| httpd-manual-2.2.3-7.el5.s390x.rpm | 737206e9ef81ebb8c931a24bd041d301 |
| mod_ssl-2.2.3-7.el5.s390x.rpm | 5fb8005049ed072357daefe5888a211a |
| x86_64: | |
| httpd-2.2.3-7.el5.x86_64.rpm | 710457b901c4a0c06a6c976facbb415a |
| httpd-devel-2.2.3-7.el5.i386.rpm | 4d771ee9d3cdd6d76cdb5d20ce4affde |
| httpd-devel-2.2.3-7.el5.x86_64.rpm | 6d7976d018d99369fa452f55c8e36e16 |
| httpd-manual-2.2.3-7.el5.x86_64.rpm | 0881f41d5413aedce4e0d70b15d642a3 |
| mod_ssl-2.2.3-7.el5.x86_64.rpm | 362d89be0fca8a6b1be5b46568dee0ff |
| Red Hat Enterprise Linux Desktop (v. 5 client) | |
| SRPMS: | |
| httpd-2.2.3-7.el5.src.rpm | ad994b03f478915b23379e3e341ee9ee |
| IA-32: | |
| httpd-2.2.3-7.el5.i386.rpm | 74ee3f1249eb3d86fba24c83279b3445 |
| mod_ssl-2.2.3-7.el5.i386.rpm | 0c8fa982385e4b9588afc1070aece01f |
| x86_64: | |
| httpd-2.2.3-7.el5.x86_64.rpm | 710457b901c4a0c06a6c976facbb415a |
| mod_ssl-2.2.3-7.el5.x86_64.rpm | 362d89be0fca8a6b1be5b46568dee0ff |
| (The unlinked packages above are only available from the Red Hat Network) | |
バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)
244658 - CVE-2007-1863 httpd mod_cache segfault
245111 - CVE-2007-3304 httpd scoreboard lack of PID protection
245112 - CVE-2006-5752 httpd mod_status XSS
参照
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1863
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3304
http://www.redhat.com/security/updates/classification/#moderate
ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package
The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ