概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。
説明
複数のセキュリティの問題やさまざまなバグを修正し、拡張機能を追加する更新済みの httpd パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。
Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
httpd パッケージには Apache HTTP Server(httpd)が含まれています。これは Apache Software Foundation の同名のプロジェクトです。
mod_negotiation モジュールで、入力サニタイズの欠陥が見つかりました。MultiViews オプションが有効化されているディレクトリに任意の名前を持つファイルのアップロードや作成を行うことができるリモートの攻撃者が、これらの欠陥を利用して、サイトにアクセスしているユーザーに対してクロスサイトスクリプティングおよび HTTP 応答分割の攻撃を行う可能性があります。(CVE-2008-0455、 CVE-2008-0456、CVE-2012-2687)
バグ修正:
* 以前は、「mod_ssl」パッケージに対して「%post」スクリプトを実行する前に、 /etc/pki/tls/private/localhost.key ファイルが有効なキーであるかどうかをチェックしていませんでした。その結果、 /etc/pki/tls/certs/localhost.crt が存在しなくて、「localhost.key」が存在するが無効である場合、 mod_ssl で Apache HTTP Server デーモン(httpd)をアップグレードすることができませんでした。現在は、「%post」スクリプトが修正され、既存の SSL キーをテストします。その結果、現在では httpd を mod_ssl でアップグレードすると、期待通りの処理が行われるようになっています。(BZ#752618)
* 「mod_ssl」モジュールが、FIPS モードの操作をサポートしていませんでした。
その結果、FIPS モードを有効にして、Red Hat Enterprise Linux 5 を動作させると、 httpd を起動できませんでした。現在は、FIPS モードで動作させる場合に、上流のパッチを適用して、非 FIPS 機能性を無効にすると、 httpd を期待通りに起動できます。(BZ#773473)
* この更新が出る前は、httpd の終了ステータスコードに Linux Standard Base(LSB)との互換性がありませんでした。コマンド「service httpd reload」が実行されて、 httpd が失敗すると、返される終了ステータスコードは「0」であり、予期されていた 1 ~ 6 の範囲ではありませんでした。init スクリプトにパッチが適用され、現在では httpd が終了ステータスコードとして予期されていた通りの「1」を返すようになっています。
(BZ#783242)
* チャンク転送のコーディングは RFC 2616 で説明されています。以前は、「チャンクのサイズ」または「チャンク拡張」の値が 32 バイト以上の場合、 Apache サーバーがチャンクエンコードされた POST リクエストを適切に処理していませんでした。
結果として、このような POST リクエストが作成されても、サーバーは応答していませんでした。現在は、上流のパッチが適用され、この問題は発生しなくなりました。(BZ#840845)
* 回帰のため、mod_cache がキャッシュできない 304 応答を受け取ると、間違ったヘッダーが提供されていました。その結果、キャッシュされたヘッダーがデータが圧縮されていることを表示することなく、圧縮されたデータがクライアントへ返されていました。上流のパッチが適用されて、キャッシュからのデータがクライアントへ提供される前に、応答とキャッシュされたヘッダーが結合されるようになっています。この結果、現在は、キャッシュされたデータがクライアントによって正しく解釈されています。(BZ#845532)
* プロキシの構成で、特定の応答行の文字列が適切に処理されていませんでした。「説明」文字列がない応答行が生成元サーバーから受信されると、「450」ステータスコードなどの非標準のステータスコードでは「500 Internal Server Error」がクライアントに返されます。このバグは修正され、現在では、生成元の応答行がクライアントに返されるようになっています。(BZ#853128)
強化点:
* 以前に導入された「LDAPChaseReferrals」に加えて、構成ディレクティブ「LDAPReferrals」が現在サポートされています。
(BZ#727342)
* 「mod_proxy」、「mod_proxy_ajp」の AJP サポートモジュールが、現在は「ProxyErrorOverride」ディレクティブをサポートします。結果として、現在は AJP でアクセスされるバックエンドのサーバーで実行されている Web アプリケーションのエラーページをカスタマイズすることが可能です。(BZ#767890)
* 現在は、パッケージのアップグレード後に httpd サービスを自動的に再起動する「%posttrans」スクリプトレットを、無効にすることができます。ファイル /etc/sysconfig/httpd-disable-posttrans が存在すると、スクリプトレットがデーモンを再起動しません。(BZ#833042)
* 現在は、「httpd -S」の出力に、各仮想ホストの設定済みエイリアス名が含まれます。(BZ#833043)
* 新しい証明書変数の名前は、「_DN_userID」サフィックスを使用して「mod_ssl」で表示されます。たとえば、「SSL_CLIENT_S_DN_userID」などとなり、「userID」の共通オブジェクト識別子(OID)定義である OID 0.9.2342.19200300.100.1.1 を使用します。(BZ#840036)
これらの問題を修正し、これらの拡張機能を実装するためにも、httpd ユーザーはすべて、更新パッケージにアップグレードすることが推奨されています。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: redhat-RHSA-2013-0130.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:mod_ssl, cpe:/o:redhat:enterprise_linux:5
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: Exploits are available