Fedora 15：httpd-2.2.22-1.fc15（2012-1642）

medium Nessus プラグイン ID 58252

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

この更新には、最新の Apace HTTP サーバーのバージョン 2.2.22 の安定リリースが含まれています。このリリースは、さまざまなバグと次のセキュリティの問題を修正します：

- リクエスト URI が HTTP 仕様に一致しないリクエストを拒否して、一部のリバースプロキシ構成でターゲット URL が予期せず展開されるのを回避します。
（CVE-2011-3368）

- ap_pregsub() の整数オーバーフローの修正。mod_setenvif モジュールが有効になった場合、ローカルユーザーが .htaccess ファイルで権限を取得する可能性があります。（CVE-2011-3607）

- ProxyPassMatch または RewriteRule による URL 書き換えのケースをさらに解決します。一部の構成で、特定リクエストの URI が予期せずにバックエンドネットワーク漏洩を引き起こす可能性があります。（CVE-2011-4317）

- mod_log_config：「%{cookiename}C」のログ書式文字列が使用されていて、クライアントが名前も値もないクッキーを送信している場合に引き起こされるセグメンテーション違反（クラッシュ）を修正します。これは、サービス拒否を引き起こしていました。問題はバージョン 2.2.17 以降に存在していました。（CVE-2012-0021）

- スコアボードの問題を修正。権限のない子プロセスが、シャットダウンで正常に終了する代わりに、親のクラッシュを引き起こす可能性があります。（CVE-2012-0031）

- 間違った応答を修正。ステータスコード 400 に対してカスタムの ErrorDocument が指定されていない場合、「httpOnly」クッキーを漏洩する可能性があります。（CVE-2012-0053）

http://www.apache.org/dist/httpd/CHANGES_2.2.22

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。