 |
中(Moderate):httpdのセキュリティアップデート
| アップデートID: | RHSA-2008:0008-6 |
|---|---|
| タイプ: | Security Advisory |
| 重大性: | 中/Moderate |
| 発行日: | 2008年1月15日 |
| 最終更新日: | 2008年1月15日 |
| 影響のある製品: |
RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) |
| OVAL: | https://rhn.redhat.com/errata/RHSA-2008-0008.html |
| CVEs (cve.mitre.org): |
CVE-2007-4465 CVE-2007-5000 CVE-2007-6388 CVE-2007-6421 CVE-2007-6422 CVE-2008-0005 |
詳細
複数のセキュリティ問題を修正したApache httpdのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。
Apache HTTP Serverは、広く使用されているWebサーバです。
mod_imagemapモジュールで欠陥が見つかりました。mod_imagemapが有効になっており、imagemapファイルが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-5000)
mod_autoindexモジュールで欠陥が見つかりました。ディレクトリリスティングを使用しており、設定から「AddDefaultCharset」ディレクティブが削除されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-4465)
mod_statusモジュールで欠陥が見つかりました。mod_statusが有効になっており、ステータスページが公開されているサイトでは、クロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-6388)
mod_proxy_balancerモジュールで欠陥が見つかりました。mod_proxy_balancerが有効になっているサイトでは、承認済みユーザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2007-6421)
mod_proxy_balancerモジュールで欠陥が見つかりました。mod_proxy_balancerが有効になっているサイトでは、承認済みユーザが巧妙に細工したリクエストを送信して、そのリクエストを処理するApacheの子プロセスをクラッシュさせることが可能です。スレッド方式のマルチプロセッシングモジュールを使用している場合、これがサービス拒否につながる可能性があります。(CVE-2007-6422)
mod_proxy_ftpモジュールで欠陥が見つかりました。mod_proxy_ftpが有効になっており、フォワードプロキシが設定されているサイトでは、RFC 2616の規則に従ってレスポンスの文字セットを正しく導出しないWebブラウザに対するクロスサイトスクリプティング攻撃を受ける可能性があります。(CVE-2008-0005)
Apache httpdのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。このアップデートのインストール後に、httpdを再起動してください。
解決法
このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。
このアップデートは、Red Hat Networkを通じて入手できます。
アップデートパッケージ
| RHEL Desktop Workstation (v. 5 client) | |
| IA-32: | |
| httpd-devel-2.2.3-11.el5_1.3.i386.rpm | 091d5dde2429502b5fcc708eb6037c82 |
| httpd-manual-2.2.3-11.el5_1.3.i386.rpm | 1231ad07b833b163e31ec0c0138dd44b |
| x86_64: | |
| httpd-devel-2.2.3-11.el5_1.3.i386.rpm | 091d5dde2429502b5fcc708eb6037c82 |
| httpd-devel-2.2.3-11.el5_1.3.x86_64.rpm | b15f3e560dfa4454a2919a290987b809 |
| httpd-manual-2.2.3-11.el5_1.3.x86_64.rpm | 713522db5bbfc34432503dbe121a3f98 |
| Red Hat Enterprise Linux (v. 5 server) | |
| SRPMS: | |
| httpd-2.2.3-11.el5_1.3.src.rpm | 86350187e69fc5f41b0ce9185247f95b |
| IA-32: | |
| httpd-2.2.3-11.el5_1.3.i386.rpm | 546691630899ef26b98e0f7b1c7b0770 |
| httpd-devel-2.2.3-11.el5_1.3.i386.rpm | 091d5dde2429502b5fcc708eb6037c82 |
| httpd-manual-2.2.3-11.el5_1.3.i386.rpm | 1231ad07b833b163e31ec0c0138dd44b |
| mod_ssl-2.2.3-11.el5_1.3.i386.rpm | 70129ebb47c0c628552053957c003fc4 |
| IA-64: | |
| httpd-2.2.3-11.el5_1.3.ia64.rpm | 414a9979d84b76f503f29bfadea0bb73 |
| httpd-devel-2.2.3-11.el5_1.3.ia64.rpm | 848448e6a9c0b6ed292b57a7f09cf564 |
| httpd-manual-2.2.3-11.el5_1.3.ia64.rpm | 60318f340d46e94f6ac5756b649a8426 |
| mod_ssl-2.2.3-11.el5_1.3.ia64.rpm | 7219af97e84b44ccef2d54923b08512d |
| PPC: | |
| httpd-2.2.3-11.el5_1.3.ppc.rpm | 344d1147e0aac9498650058344e62b96 |
| httpd-devel-2.2.3-11.el5_1.3.ppc.rpm | e1c5f8b6777a5bcd804ca9b122c501c6 |
| httpd-devel-2.2.3-11.el5_1.3.ppc64.rpm | 801f6f08d7d1d579f6a4dd0061e815fe |
| httpd-manual-2.2.3-11.el5_1.3.ppc.rpm | 687024b1e7001cfc580cfa6014a4f5e7 |
| mod_ssl-2.2.3-11.el5_1.3.ppc.rpm | 14a3b36a644f468ea588246ab530c6d4 |
| s390x: | |
| httpd-2.2.3-11.el5_1.3.s390x.rpm | c70c12ae6ee703e861956297bb7d75a0 |
| httpd-devel-2.2.3-11.el5_1.3.s390.rpm | 4ff213415d7a51d9be34df366e23abb1 |
| httpd-devel-2.2.3-11.el5_1.3.s390x.rpm | 8c3c061ed869e498ee69c607a4c2dd08 |
| httpd-manual-2.2.3-11.el5_1.3.s390x.rpm | 77d8aa7a4775c32558d257c86d413b50 |
| mod_ssl-2.2.3-11.el5_1.3.s390x.rpm | cdaab872832b9f53b87c1d3dec758810 |
| x86_64: | |
| httpd-2.2.3-11.el5_1.3.x86_64.rpm | cdccf8d2d0a2dd39f814eb8d60a13cff |
| httpd-devel-2.2.3-11.el5_1.3.i386.rpm | 091d5dde2429502b5fcc708eb6037c82 |
| httpd-devel-2.2.3-11.el5_1.3.x86_64.rpm | b15f3e560dfa4454a2919a290987b809 |
| httpd-manual-2.2.3-11.el5_1.3.x86_64.rpm | 713522db5bbfc34432503dbe121a3f98 |
| mod_ssl-2.2.3-11.el5_1.3.x86_64.rpm | 6e04c579ae3abf233ce894827f686cae |
| Red Hat Enterprise Linux Desktop (v. 5 client) | |
| SRPMS: | |
| httpd-2.2.3-11.el5_1.3.src.rpm | 86350187e69fc5f41b0ce9185247f95b |
| IA-32: | |
| httpd-2.2.3-11.el5_1.3.i386.rpm | 546691630899ef26b98e0f7b1c7b0770 |
| mod_ssl-2.2.3-11.el5_1.3.i386.rpm | 70129ebb47c0c628552053957c003fc4 |
| x86_64: | |
| httpd-2.2.3-11.el5_1.3.x86_64.rpm | cdccf8d2d0a2dd39f814eb8d60a13cff |
| mod_ssl-2.2.3-11.el5_1.3.x86_64.rpm | 6e04c579ae3abf233ce894827f686cae |
| (The unlinked packages above are only available from the Red Hat Network) | |
バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)
289511 - CVE-2007-4465 mod_autoindex XSS
419931 - CVE-2007-5000 mod_imagemap XSS
427228 - CVE-2007-6388 apache mod_status cross-site scripting
427229 - CVE-2007-6421 httpd mod_proxy_balancer cross-site scripting
427230 - CVE-2007-6422 httpd mod_proxy_balancer crash
427739 - CVE-2008-0005 mod_proxy_ftp XSS
参照
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5000
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6388
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6421
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6422
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0005
http://www.redhat.com/security/updates/classification/#moderate
ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package
The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ