Skip to content

Security Advisory 中(Moderate):apacheのセキュリティアップデート

アップデートID:

RHSA-2008:0004-7

タイプ:中/Security Advisory
重大性:
発行日:2008年1月15日
最終更新日:2008年1月15日
影響のある製品: Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
OVAL: https://rhn.redhat.com/errata/RHSA-2008-0004.html
CVEs (cve.mitre.org): CVE-2007-4465
CVE-2007-5000
CVE-2007-6388
CVE-2008-0005


詳細

複数のセキュリティ問題を修正したapacheのアップデートパッケージがRed Hat Enterprise Linux 2.1で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

Apache HTTP Serverは、広く使用されているWebサーバです。

mod_imapモジュールで欠陥が見つかりました。mod_imapが有効になっており、imagemapファイルが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-5000)

mod_autoindexモジュールで欠陥が見つかりました。ディレクトリリスティングを使用しており、設定から「AddDefaultCharset」ディレクティブが削除されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-4465)

mod_statusモジュールで欠陥が見つかりました。mod_statusが有効になっており、ステータスページが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-6388)

mod_proxy_ftpモジュールで欠陥が見つかりました。mod_proxy_ftpが有効になっており、フォワードプロキシが設定されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2008-0005)

Apacheのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。このアップデートのインストール後に、Apacheを再起動してください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
apache-1.3.27-14.ent.src.rpm     9dee96349dd3897516820c15e9250214
 
IA-32:
apache-1.3.27-14.ent.i386.rpm     687b62929a296bcd1e91adb3c91028ea
apache-devel-1.3.27-14.ent.i386.rpm     5e68a3b82defdcd1552e04568f97bccb
apache-manual-1.3.27-14.ent.i386.rpm     7c063d5e46c5e9d54159b38c5a734f38
 
IA-64:
apache-1.3.27-14.ent.ia64.rpm     2b7001a6aee37d3c75e7eb010e059116
apache-devel-1.3.27-14.ent.ia64.rpm     44481d0db01de1bfb74f19945639fe92
apache-manual-1.3.27-14.ent.ia64.rpm     5545c78d9d995f543b95d707ee7b57a3
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
apache-1.3.27-14.ent.src.rpm     9dee96349dd3897516820c15e9250214
 
IA-32:
apache-1.3.27-14.ent.i386.rpm     687b62929a296bcd1e91adb3c91028ea
apache-devel-1.3.27-14.ent.i386.rpm     5e68a3b82defdcd1552e04568f97bccb
apache-manual-1.3.27-14.ent.i386.rpm     7c063d5e46c5e9d54159b38c5a734f38
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
apache-1.3.27-14.ent.src.rpm     9dee96349dd3897516820c15e9250214
 
IA-32:
apache-1.3.27-14.ent.i386.rpm     687b62929a296bcd1e91adb3c91028ea
apache-devel-1.3.27-14.ent.i386.rpm     5e68a3b82defdcd1552e04568f97bccb
apache-manual-1.3.27-14.ent.i386.rpm     7c063d5e46c5e9d54159b38c5a734f38
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
apache-1.3.27-14.ent.src.rpm     9dee96349dd3897516820c15e9250214
 
IA-64:
apache-1.3.27-14.ent.ia64.rpm     2b7001a6aee37d3c75e7eb010e059116
apache-devel-1.3.27-14.ent.ia64.rpm     44481d0db01de1bfb74f19945639fe92
apache-manual-1.3.27-14.ent.ia64.rpm     5545c78d9d995f543b95d707ee7b57a3
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

289511 - CVE-2007-4465 mod_autoindex XSS
419931 - CVE-2007-5000 mod_imagemap XSS
427228 - CVE-2007-6388 apache mod_status cross-site scripting
427739 - CVE-2008-0005 mod_proxy_ftp XSS


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4465
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5000
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6388
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0005
http://www.redhat.com/security/updates/classification/#moderate


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/