openSUSE セキュリティ更新:apache2(openSUSE-2012-132)

medium Nessus プラグイン ID 74555

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

- httpd-2.2.x-bnc743743-CVE-2012-0053-server_protocol_c-cookie_exposure.diff は CVE-2012-0053 に対処しています:カスタム 400 エラーコード ErrorDocument が設定されていない場合、エラー応答がクッキーを漏洩させる可能性があります。[bnc#743743]

- httpd-2.2.x-bnc741243-CVE-2012-0031-scoreboard_handling.diff:
子によるスコアボード破損(共有メモリセグメント)が、シャットダウン中に権限のある親(無効な free())のクラッシュを引き起こします。
これは、重要度低の影響と評価されています。通知:
https://svn.apache.org/viewvc?view=revision&revision=1230065 により、global_score 構造体が変更されるため、バイナリの互換性がなくなることになります。上記パッチの変更は、脆弱性が完全に修正されても、バイナリの互換性が許す限り適用されます。CVE-2012-0031[bnc#741243]

- /etc/init.d/apache2:新しい引数「リロードのチェック」。httpd2 がパッケージの更新後などに、削除されたバイナリ上で実行されている場合は、1 で終了します。さもなければ 0 です。これは、prerotate スクリプトの「etc/init.d/apache2 check-reload」を使用する、同様に修正された /etc/logrotate.d/apache2 に使用されます。これらの変更は、新しいバイナリがインストールされている場合、cron によって実行される logrotate が httpd2 を(緩やかに)リロードすることを防ぎます。代わりに、警告が stdout に表示され、syslog へ記録されます。これが発生する場合、apache のログはローテーションされず、実行中のプロセスは放置されたままです。これにより、ローテーションされていないログに対するログローテーションの最大ダメージが抑えられます。
このような場合、「/etc/init.d/apache2 restart」(または「rcapache2 restart」)は手動で実行する必要があります。[bnc#728876]

- httpd-2.2.x-bnc729181-CVE-2011-3607-int_overflow.diff:CVE-2011-3607 としても知られる server/util.c の整数オーバーフローを修正します。
[bnc#729181]

- /etc/sysconfig/apache2 の mod_reqtimeout.c モジュールのビルドおよび構成をデフォルトで有効にします(APACHE_MODULES=...)。これによって、すでに存在している sysconfig ファイルが変更されることはなく、このパッケージが既存の sysconfig ファイルなしでインストールされている場合に、このモジュールは sysconfig を通じてのみ有効になります。構成可能な内容については、新しいファイル /etc/apache2/mod_reqtimeout.conf を参照してください。
リクエストを非常にゆっくりと送信することでリクエストスロットを枯渇させる、Slowloris.pl DoS の脆弱性に対応します。注意:mod_reqtimeout はリクエストの制限をリクエスト速度の上限ではなく下限に基づいて行います!CVE-2007-6750[bnc#738855]。

ソリューション

影響を受ける apache2 パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=728876

https://bugzilla.novell.com/show_bug.cgi?id=729181

https://bugzilla.novell.com/show_bug.cgi?id=738855

https://bugzilla.novell.com/show_bug.cgi?id=741243

https://bugzilla.novell.com/show_bug.cgi?id=743743

https://svn.apache.org/viewvc?view=revision&revision=1230065

プラグインの詳細

深刻度: Medium

ID: 74555

ファイル名: openSUSE-2012-132.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.6

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:apache2, p-cpe:/a:novell:opensuse:apache2-debuginfo, p-cpe:/a:novell:opensuse:apache2-debugsource, p-cpe:/a:novell:opensuse:apache2-devel, p-cpe:/a:novell:opensuse:apache2-event, p-cpe:/a:novell:opensuse:apache2-event-debuginfo, p-cpe:/a:novell:opensuse:apache2-example-pages, p-cpe:/a:novell:opensuse:apache2-itk, p-cpe:/a:novell:opensuse:apache2-itk-debuginfo, p-cpe:/a:novell:opensuse:apache2-prefork, p-cpe:/a:novell:opensuse:apache2-prefork-debuginfo, p-cpe:/a:novell:opensuse:apache2-utils, p-cpe:/a:novell:opensuse:apache2-utils-debuginfo, p-cpe:/a:novell:opensuse:apache2-worker, p-cpe:/a:novell:opensuse:apache2-worker-debuginfo, cpe:/o:novell:opensuse:12.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2012/2/16

参照情報

CVE: CVE-2007-6750, CVE-2011-3607, CVE-2012-0031, CVE-2012-0053