[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55932] [Translate] [SECURITY] [DSA 2405-1] apache2 security update

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:55932] [Translate] [SECURITY] [DSA 2405-1] apache2 security update
Date: Tue, 7 Feb 2012 00:09:27 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.2.5
Message-id: <4F2FED25.1010806@xxxxxxxxxxxx>
X-mail-count: 55932
User-agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10.5; ja-JPM; rv:1.9.2.26) Gecko/20120129 Thunderbird/3.1.18

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2405-1                   security@debian.org
http://www.debian.org/security/                            Stefan Fritsch
February 06, 2012                      http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : apache2
Vulnerability  : 複数の問題
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2011-3607 CVE-2011-3368 CVE-2011-3639 CVE-2011-4317
                 CVE-2012-0031 CVE-2012-0053

複数の欠陥が Apache HTTPD サーバに発見されました。

CVE-2011-3607:

  ap_pregsub() に整数オーバフローがあり、ローカルの攻撃者が .htaccess フ
  ァイルに細工することにより、昇格した特権での任意のコードの実行が可能で
  す。

CVE-2011-3368 CVE-2011-3639 CVE-2011-4317:

  Apache HTTP サーバは、プロキシされたリクエストのリクエスト URI を適切
  に検証していません。一部の ProxyPassMatch ディレクティブを用いた、また
  は [P] フラグを用いた RewriteRule ディレクティブを用いたリバースプロキ
  シ設定では、リモートの攻撃者から任意のサーバへの接続が可能です。この欠
  陥により、攻撃者はその他の方法では外部からアクセスできないはずの内部サ
  ーバに対するアクセスを行うことができます

  3つの CVE ID は同じ問題の、微妙に異なった変形に対して取られたものです。

  この問題の修正が行われた場合でも、対象 URI に対して正規表現により置き
  換えられたパターンが、クライアントに対してホストやポート部に任意の文字
  列を付加できるようになっていないことを保証してください。これは管理者の
  役割です。例えば、以下の設定は、依然として安全でないものであり、

    ProxyPassMatch ^/mail(.*)  http://internal-host$1

  以下の設定に置き換えるべきです。

    ProxyPassMatch ^/mail(/.*)  http://internal-host$1
    ProxyPassMatch ^/mail/(.*)  http://internal-host/$1

CVE-2012-0031:

  シャットダウン時に apache2 の子プロセスから親プロセスをクラッシュ可能
  です。これは apache2 のプロセス間での特権分離に反した処理で、他の欠陥
  の影響を悪化させる可能性があります。

CVE-2012-0053:

  error code 400 (bad request) の応答メッセージを httpOnly クッキーの漏
  洩に利用可能です。この欠陥により、リモートの攻撃者がクロスサイトスク
  リプティング攻撃を行って認証クッキーを盗むことができます。


旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン apache2 2.2.9-10+lenny12 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ
ージョン apache2 2.2.16-6+squeeze6 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、これらの問題は
バージョン 2.2.22-1 で修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 2.2.22-1 で修正されています。

直ぐに apache2 パッケージをアップグレードすることを勧めます。

この更新では、更新された Apache2 パッケージに対して再コンパイルされた
apache2-mpm-itk パッケージも収録しています。旧安定版ディストリビューシ
ョンでの新しいバージョン番号は、2.2.6-02-1+lenny7 です。安定版ディスト
リビューションでは、apache2-mpm-itk は apache2 と同じバージョン番号に
なります。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:55931] [Translate] [SECURITY] [DSA 2404-1] xen-qemu-dm-4.0 security update
Next by Date: [debian-users:55933] Re: SSDを認識しない
Previous by thread: [debian-users:55931] [Translate] [SECURITY] [DSA 2404-1] xen-qemu-dm-4.0 security update
Next by thread: [debian-users:55936] [Translate] [SECURITY] [DSA 2403-2] php5 security update
Index(es):
- Date
- Thread