2012年2月 7日

[debian-users:55932] [Translate] [SECURITY] [DSA 2405-1] apache2 security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2405-1 security@xxxxx
http://www.debian.org/security/ Stefan Fritsch

February 06, 2012 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : apache2
Vulnerability : 複数の問題
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-3607 CVE-2011-3368 CVE-2011-3639 CVE-2011-4317
CVE-2012-0031 CVE-2012-0053

複数の欠陥が Apache HTTPD サーバに発見されました。

CVE-2011-3607:

ap_pregsub() に整数オーバフローがあり、ローカルの攻撃者が .htaccess フ
ァイルに細工することにより、昇格した特権での任意のコードの実行が可能で
す。

CVE-2011-3368 CVE-2011-3639 CVE-2011-4317:

Apache HTTP サーバは、プロキシされたリクエストのリクエスト URI を適切
に検証していません。一部の ProxyPassMatch ディレクティブを用いた、また
は [P] フラグを用いた RewriteRule ディレクティブを用いたリバースプロキ
シ設定では、リモートの攻撃者から任意のサーバへの接続が可能です。この欠
陥により、攻撃者はその他の方法では外部からアクセスできないはずの内部サ
ーバに対するアクセスを行うことができます

3つの CVE ID は同じ問題の、微妙に異なった変形に対して取られたものです。

この問題の修正が行われた場合でも、対象 URI に対して正規表現により置き
換えられたパターンが、クライアントに対してホストやポート部に任意の文字
列を付加できるようになっていないことを保証してください。これは管理者の
役割です。例えば、以下の設定は、依然として安全でないものであり、

ProxyPassMatch ^/mail(.*) http://internal-host$1

以下の設定に置き換えるべきです。

ProxyPassMatch ^/mail(/.*) http://internal-host$1
ProxyPassMatch ^/mail/(.*) http://internal-host/$1

CVE-2012-0031:

シャットダウン時に apache2 の子プロセスから親プロセスをクラッシュ可能
です。これは apache2 のプロセス間での特権分離に反した処理で、他の欠陥
の影響を悪化させる可能性があります。

CVE-2012-0053:

error code 400 (bad request) の応答メッセージを httpOnly クッキーの漏
洩に利用可能です。この欠陥により、リモートの攻撃者がクロスサイトスク
リプティング攻撃を行って認証クッキーを盗むことができます。


旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン apache2 2.2.9-10+lenny12 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ
ージョン apache2 2.2.16-6+squeeze6 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、これらの問題は
バージョン 2.2.22-1 で修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 2.2.22-1 で修正されています。

直ぐに apache2 パッケージをアップグレードすることを勧めます。

この更新では、更新された Apache2 パッケージに対して再コンパイルされた
apache2-mpm-itk パッケージも収録しています。旧安定版ディストリビューシ
ョンでの新しいバージョン番号は、2.2.6-02-1+lenny7 です。安定版ディスト
リビューションでは、apache2-mpm-itk は apache2 と同じバージョン番号に
なります。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2012年2月 7日 00:09
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108520
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。