Skip to content

Security Advisory 中(Moderate):httpdのセキュリティアップデート

アップデートID:

RHSA-2008:0006-6

タイプ:Security Advisory
重大性:中/Moderate
発行日:2008年1月15日
最終更新日:2008年1月15日
影響のある製品: Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2008-0006.html
CVEs (cve.mitre.org): CVE-2007-4465
CVE-2007-5000
CVE-2007-6388
CVE-2008-0005


詳細

複数のセキュリティ問題を修正したApache httpdのアップデートパッケージが Red Hat Enterprise Linux 4で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

Apache HTTP Serverは、広く使用されているWebサーバです。

mod_imapモジュールで欠陥が見つかりました。mod_imapが有効になっており、imagemapファイルが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-5000)

mod_autoindexモジュールで欠陥が見つかりました。ディレクトリリスティングを使用しており、設定から「AddDefaultCharset」ディレクティブが削除されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-4465)

mod_statusモジュールで欠陥が見つかりました。mod_statusが有効になっており、ステータスページが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-6388)

mod_proxy_ftpモジュールで欠陥が見つかりました。mod_proxy_ftpが有効になっており、フォワードプロキシが設定されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2008-0005)

Apache httpdのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。このアップデートのインストール後に、httpdを再起動してください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Desktop (v. 4)
SRPMS:
httpd-2.0.52-38.ent.2.src.rpm     691bc43d6ec19f9da8915cf4d43ffe69
 
IA-32:
httpd-2.0.52-38.ent.2.i386.rpm     792fc8f8dd57638e42ed0fcef5a41804
httpd-devel-2.0.52-38.ent.2.i386.rpm     57603e243486d7079acf23868951713a
httpd-manual-2.0.52-38.ent.2.i386.rpm     ca1a56b87cc28a3daf4f65260b4328fe
httpd-suexec-2.0.52-38.ent.2.i386.rpm     b514d321e4d1da024efcf5732dafc717
mod_ssl-2.0.52-38.ent.2.i386.rpm     828138bf7bbd6fcf900d66bfd529a0c5
 
x86_64:
httpd-2.0.52-38.ent.2.x86_64.rpm     58129d7f31b0f44bea5018a02a8fe1e2
httpd-devel-2.0.52-38.ent.2.x86_64.rpm     b1d41e5cdd3a5975c3c5ab6bcb3d3188
httpd-manual-2.0.52-38.ent.2.x86_64.rpm     cf67a0b896a353eb761fabff99408449
httpd-suexec-2.0.52-38.ent.2.x86_64.rpm     8127b6abf04eb0e22d8527616e5ecdca
mod_ssl-2.0.52-38.ent.2.x86_64.rpm     f400e221e922ead0b18f940f5b554b87
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
httpd-2.0.52-38.ent.2.src.rpm     691bc43d6ec19f9da8915cf4d43ffe69
 
IA-32:
httpd-2.0.52-38.ent.2.i386.rpm     792fc8f8dd57638e42ed0fcef5a41804
httpd-devel-2.0.52-38.ent.2.i386.rpm     57603e243486d7079acf23868951713a
httpd-manual-2.0.52-38.ent.2.i386.rpm     ca1a56b87cc28a3daf4f65260b4328fe
httpd-suexec-2.0.52-38.ent.2.i386.rpm     b514d321e4d1da024efcf5732dafc717
mod_ssl-2.0.52-38.ent.2.i386.rpm     828138bf7bbd6fcf900d66bfd529a0c5
 
IA-64:
httpd-2.0.52-38.ent.2.ia64.rpm     ccbfccb2a31823b47445059db01302dc
httpd-devel-2.0.52-38.ent.2.ia64.rpm     9761af1eeec91ed4ebf73a1e32881610
httpd-manual-2.0.52-38.ent.2.ia64.rpm     549467b8489bb9ff0b28e80294c1dae4
httpd-suexec-2.0.52-38.ent.2.ia64.rpm     3e59ee51689fef0aa27a30fd3f668b98
mod_ssl-2.0.52-38.ent.2.ia64.rpm     d96be72514a56dc3672394b5f07a7534
 
PPC:
httpd-2.0.52-38.ent.2.ppc.rpm     8895130023a32a74f5bd97c04e57e27f
httpd-devel-2.0.52-38.ent.2.ppc.rpm     e9b88f832008e692c0a6e051a45cd30d
httpd-manual-2.0.52-38.ent.2.ppc.rpm     cfda3ec514240899e8bb10178a51c5f7
httpd-suexec-2.0.52-38.ent.2.ppc.rpm     d07ce658b49af47b18b2882baa59bbaa
mod_ssl-2.0.52-38.ent.2.ppc.rpm     03455e48deeae6aa550c594582597789
 
s390:
httpd-2.0.52-38.ent.2.s390.rpm     893508dc9d10551e403bcaf904a9b4a9
httpd-devel-2.0.52-38.ent.2.s390.rpm     1ebc0562540c7f007d09174231a35b74
httpd-manual-2.0.52-38.ent.2.s390.rpm     8c5e6fe4797de33b2a8fbb7203432a2a
httpd-suexec-2.0.52-38.ent.2.s390.rpm     c28f2dac3ce7681317423398e7d5bc8b
mod_ssl-2.0.52-38.ent.2.s390.rpm     a73f7494af9053b7ed6532a3bad934f9
 
s390x:
httpd-2.0.52-38.ent.2.s390x.rpm     0e656c39c7bb6d602fa296de6582b345
httpd-devel-2.0.52-38.ent.2.s390x.rpm     c8927565a9fd44ca14e7515830a6a657
httpd-manual-2.0.52-38.ent.2.s390x.rpm     4038aefaca6696c6aa280a132778d433
httpd-suexec-2.0.52-38.ent.2.s390x.rpm     b26795f4695c17216aad21c1c806f7cf
mod_ssl-2.0.52-38.ent.2.s390x.rpm     c172400379ae45dc79ecf11b3c48d852
 
x86_64:
httpd-2.0.52-38.ent.2.x86_64.rpm     58129d7f31b0f44bea5018a02a8fe1e2
httpd-devel-2.0.52-38.ent.2.x86_64.rpm     b1d41e5cdd3a5975c3c5ab6bcb3d3188
httpd-manual-2.0.52-38.ent.2.x86_64.rpm     cf67a0b896a353eb761fabff99408449
httpd-suexec-2.0.52-38.ent.2.x86_64.rpm     8127b6abf04eb0e22d8527616e5ecdca
mod_ssl-2.0.52-38.ent.2.x86_64.rpm     f400e221e922ead0b18f940f5b554b87
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
httpd-2.0.52-38.ent.2.src.rpm     691bc43d6ec19f9da8915cf4d43ffe69
 
IA-32:
httpd-2.0.52-38.ent.2.i386.rpm     792fc8f8dd57638e42ed0fcef5a41804
httpd-devel-2.0.52-38.ent.2.i386.rpm     57603e243486d7079acf23868951713a
httpd-manual-2.0.52-38.ent.2.i386.rpm     ca1a56b87cc28a3daf4f65260b4328fe
httpd-suexec-2.0.52-38.ent.2.i386.rpm     b514d321e4d1da024efcf5732dafc717
mod_ssl-2.0.52-38.ent.2.i386.rpm     828138bf7bbd6fcf900d66bfd529a0c5
 
IA-64:
httpd-2.0.52-38.ent.2.ia64.rpm     ccbfccb2a31823b47445059db01302dc
httpd-devel-2.0.52-38.ent.2.ia64.rpm     9761af1eeec91ed4ebf73a1e32881610
httpd-manual-2.0.52-38.ent.2.ia64.rpm     549467b8489bb9ff0b28e80294c1dae4
httpd-suexec-2.0.52-38.ent.2.ia64.rpm     3e59ee51689fef0aa27a30fd3f668b98
mod_ssl-2.0.52-38.ent.2.ia64.rpm     d96be72514a56dc3672394b5f07a7534
 
x86_64:
httpd-2.0.52-38.ent.2.x86_64.rpm     58129d7f31b0f44bea5018a02a8fe1e2
httpd-devel-2.0.52-38.ent.2.x86_64.rpm     b1d41e5cdd3a5975c3c5ab6bcb3d3188
httpd-manual-2.0.52-38.ent.2.x86_64.rpm     cf67a0b896a353eb761fabff99408449
httpd-suexec-2.0.52-38.ent.2.x86_64.rpm     8127b6abf04eb0e22d8527616e5ecdca
mod_ssl-2.0.52-38.ent.2.x86_64.rpm     f400e221e922ead0b18f940f5b554b87
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
httpd-2.0.52-38.ent.2.src.rpm     691bc43d6ec19f9da8915cf4d43ffe69
 
IA-32:
httpd-2.0.52-38.ent.2.i386.rpm     792fc8f8dd57638e42ed0fcef5a41804
httpd-devel-2.0.52-38.ent.2.i386.rpm     57603e243486d7079acf23868951713a
httpd-manual-2.0.52-38.ent.2.i386.rpm     ca1a56b87cc28a3daf4f65260b4328fe
httpd-suexec-2.0.52-38.ent.2.i386.rpm     b514d321e4d1da024efcf5732dafc717
mod_ssl-2.0.52-38.ent.2.i386.rpm     828138bf7bbd6fcf900d66bfd529a0c5
 
IA-64:
httpd-2.0.52-38.ent.2.ia64.rpm     ccbfccb2a31823b47445059db01302dc
httpd-devel-2.0.52-38.ent.2.ia64.rpm     9761af1eeec91ed4ebf73a1e32881610
httpd-manual-2.0.52-38.ent.2.ia64.rpm     549467b8489bb9ff0b28e80294c1dae4
httpd-suexec-2.0.52-38.ent.2.ia64.rpm     3e59ee51689fef0aa27a30fd3f668b98
mod_ssl-2.0.52-38.ent.2.ia64.rpm     d96be72514a56dc3672394b5f07a7534
 
x86_64:
httpd-2.0.52-38.ent.2.x86_64.rpm     58129d7f31b0f44bea5018a02a8fe1e2
httpd-devel-2.0.52-38.ent.2.x86_64.rpm     b1d41e5cdd3a5975c3c5ab6bcb3d3188
httpd-manual-2.0.52-38.ent.2.x86_64.rpm     cf67a0b896a353eb761fabff99408449
httpd-suexec-2.0.52-38.ent.2.x86_64.rpm     8127b6abf04eb0e22d8527616e5ecdca
mod_ssl-2.0.52-38.ent.2.x86_64.rpm     f400e221e922ead0b18f940f5b554b87
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

289511 - CVE-2007-4465 mod_autoindex XSS
419931 - CVE-2007-5000 mod_imagemap XSS
427228 - CVE-2007-6388 apache mod_status cross-site scripting
427739 - CVE-2008-0005 mod_proxy_ftp XSS


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4465
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5000
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6388
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0005
http://www.redhat.com/security/updates/classification/#moderate


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/