Oracle Linux 3:httpd(ELSA-2007-0533)
medium Nessus プラグイン ID 67530
Language:
概要
リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
Red Hat セキュリティアドバイザリ 2007:0533 から:2 つのセキュリティの問題と 2 つのバグを修正する更新済み Apache httpd パッケージが、 Red Hat Enterprise Linux 3 で現在利用可能です。
Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。
Apache HTTP Server は人気のある Web サーバーです。
Apache HTTP Server mod_status モジュールに欠陥が見つかりました。server-status ページに公的にアクセス可能で、ExtendedStatus が有効になっているサイトでは、このためにクロスサイトスクリプティング攻撃が発生する可能性があります。Red Hat Enterprise Linux で server-status ページがデフォルトで有効になりません。これを公的に利用可能にしないことがベストプラクティスです。
(CVE-2006-5752)
Apache HTTP Server mod_cache モジュールに欠陥が見つかりました。キャッシュが有効になっているサイトでは、リモートの攻撃者が周到に細工されたリクエストを送信し、そのためにそのリクエストを処理する Apache 子プロセスがクラッシュする可能性があります。これにより、スレッド化したマルチプセッシングモジュールを使用した場合にサービス拒否が発生する可能性があります。(CVE-2007-1863)
また、2 つのバグが修正されました:
* ProxyErrorOverride ディレクティブが有効化されているとき、3xx status-codes を含む応答は proxy でオーバーライドされます。これは 4xx および 5xx の応答のみオーバーライドされるよう、変更されています。
* 「ProxyTimeout」ディレクティブの内容が仮想ホストの定義に引き継がれていません。
httpd のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。更新のインストール後、ユーザーは Apache を再起動する必要があります。
ソリューション
影響を受ける httpd パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/el-errata/2007-June/000255.html
プラグインの詳細
深刻度: Medium
ID: 67530
ファイル名: oraclelinux_ELSA-2007-0533.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
公開日: 2013/7/12
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:oracle:linux:httpd, p-cpe:/a:oracle:linux:httpd-devel, p-cpe:/a:oracle:linux:mod_ssl, cpe:/o:oracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2007/6/27
脆弱性公開日: 2007/6/27
参照情報
CVE: CVE-2006-5752, CVE-2007-1863
RHSA: 2007:0533