Scientific Linux セキュリティ更新：SL4.x i386/x86_64 の httpd

medium Nessus プラグイン ID 60753

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

CVE-2010-0434 httpd：リクエストヘッダーの情報漏洩

Apache HTTP Server がサブリクエストのリクエストヘッダーを処理する方法に use-after-free 欠陥が見つかりました。サブリクエストが使用される構成で、マルチスレッドの MPM（Multi-Processing Module）は、リクエストの返信で他のリクエストからの情報を漏洩することがあります。（CVE-2010-0434）

この更新では以下のバグも修正されます。

- mod_dav モジュールにバグが見つかりました。既存のファイルの PUT リクエストが失敗すると、そのファイルは予期せず削除され、「次のバケットブリゲードを取得できませんでした」エラーがログに記録されます。この更新では、 PUT リクエストが失敗してももはや mod_dav がファイルを削除しなくなり、この問題が解決します。（BZ#572932）

また、この更新により次の強化策が追加されます。

- RHSA-2010:0163 からの更新済みの openssl パッケージをインストールすると、 mod_ssl は RFC 5746 をサポートせず、パッチを適用しないクライアントとの TLS/SSL 接続の再ネゴシエーションを拒否します。この更新は、「SSLInsecureRenegotiation」構成ディレクティブを追加します。このディレクティブが有効な場合、 mod_ssl はパッチを適用していないクライアントと安全でない再ネゴシエーションを行います。（BZ#575805）

変更された mod_ssl 動作の詳細については、以下の Red Hat Knowledge Base 記事を参照してください：
http://kbase.redhat.com/faq/docs/DOC-20491

更新したパッケージをインストールした後、更新を有効にするために httpd デーモンを再起動する必要があります。