中（Moderate）：httpdのセキュリティアップデート

複数のセキュリティ問題を修正したApache httpdのアップデートパッケージがRed Hat Enterprise Linux 3で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

Apache HTTP Serverは、広く使用されているWebサーバです。

mod_imapモジュールで欠陥が見つかりました。mod_imapが有効になっており、imagemapファイルが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。（CVE-2007-5000）

mod_autoindexモジュールで欠陥が見つかりました。ディレクトリリスティングを使用しており、設定から「AddDefaultCharset」ディレクティブが削除されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。（CVE-2007-4465）

mod_proxyモジュールで欠陥が見つかりました。リバースプロキシが設定されているサイトでは、リモート攻撃者が巧妙に細工したリクエストを送信して、そのリクエストを処理するApacheの子プロセスをクラッシュさせることが可能です。フォワードプロキシが設定されているサイトでは、ユーザがプロキシを使用して悪意のあるサイトを閲覧するように攻撃者が仕向けることで、同様のクラッシュを引き起こすことが可能です。スレッド方式のマルチプロセッシングモジュールを使用している場合、これがサービス拒否につながる可能性があります。（CVE-2007-3847）

mod_statusモジュールで欠陥が見つかりました。mod_statusが有効になっており、ステータスページが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。（CVE-2007-6388）

mod_proxy_ftpモジュールで欠陥が見つかりました。mod_proxy_ftpが有効になっており、フォワードプロキシが設定されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。（CVE-2008-0005）

Apache httpdのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。このアップデートのインストール後に、httpdを再起動してください。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

250731 - CVE-2007-3847 httpd out of bounds read
289511 - CVE-2007-4465 mod_autoindex XSS
419931 - CVE-2007-5000 mod_imagemap XSS
427228 - CVE-2007-6388 apache mod_status cross-site scripting
427739 - CVE-2008-0005 mod_proxy_ftp XSS

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3847
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4465
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5000
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6388
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0005
http://www.redhat.com/security/updates/classification/#moderate