SUSE SLES12 セキュリティ更新:apache2(SUSE-SU-2015:1851-1)(Logjam)

low Nessus プラグイン ID 86703

概要

リモート SuSE ホストに1つ以上のセキュリティ更新がありません。

説明

Apache2 Web サーバーが更新され、いくつかのセキュリティ問題が修正されました。

修正されたセキュリティの課題:

- Apache HTTP Server のチャンク転送コード実装が、チャンクヘッダーを適切に解析していませんでした。これにより、リモートの攻撃者が、modules/http/http_filters.c の大きなチャンクサイズの値と無効なチャンク拡張文字の不適切な処理に関連して、細工されたリクエストで HTTP リクエストスマグリングを実行する可能性があります。[bsc#938728、CVE-2015-3183]

- LOGJAM のセキュリティの問題が次により対処されました:[bnc#931723 CVE-2015-4000]

- SSLCipherSuite 暗号化文字列を変更して、エクスポート暗号化パッケージを無効化し、エフェメラル楕円曲線ディフィー・ヘルマン(ECDHE)暗号を展開します。

-「gensslcert」スクリプトを調整し、強い一意のディフィー・ヘルマングループを生成し、サーバー証明書ファイルに追加します。

- Apache HTTP Server 2.4.x の server/request.c の ap_some_auth_required 関数が、Require ディレクティブが認証設定ではなく承認設定と関連づけられている可能性があることを配慮していませんでした。これにより、リモートの攻撃者が、2.2 API の動作に依存するモジュールの存在を利用して、意図されたアクセス制限を状況によってはバイパスする可能性がありました。[bnc#938723 bnc#939516 CVE-2015-3185]

- JkMount/JkUnmount ディレクティブの不適切な処理による Tomcat mod_jk の情報漏洩 [bnc#927845 CVE-2014-8111]

その他のバグ修正:

- 現在は suse_maintenance_mmn_# を提供しています [bnc#915666]。

- %files のハードコードモジュール [bnc#444878]。

- SSLSessionCache 周辺の IfModule ディレクティブを修正しました [bnc#911159]。

- Yast2 ファイアウォールファイルの TCP ポートのみを許可します [bnc#931002]

- バックエンド接続が再利用された場合に、一部の LDAP 検索または比較が間違った認証情報で実行される回帰を修正しました [bnc#930228]

- split-logfile2 スクリプトを修正しました [bnc#869790]

- 変更された MODULE_MAGIC_NUMBER_MINOR を削除します。これにより、apache が提供しない機能を期待する方法をモジュールが混乱します。[bnc#915666]

- gensslcert:現在 CN はデフォルトで「hostname -f」になっています [bnc#949766]、ヘルプを修正します [bnc#949771]

注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise ソフトウェア開発キット 12:

zypper in -t patch SUSE-SLE-SDK-12-2015-772=1

SUSE Linux Enterprise サーバー 12:

zypper in -t patch SUSE-SLE-SERVER-12-2015-772=1

SUSE Enterprise Storage 1.0:

zypper in -t patch SUSE-Storage-1.0-2015-772=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=444878

https://bugzilla.suse.com/show_bug.cgi?id=869790

https://bugzilla.suse.com/show_bug.cgi?id=911159

https://bugzilla.suse.com/show_bug.cgi?id=915666

https://bugzilla.suse.com/show_bug.cgi?id=927845

https://bugzilla.suse.com/show_bug.cgi?id=930228

https://bugzilla.suse.com/show_bug.cgi?id=931002

https://bugzilla.suse.com/show_bug.cgi?id=931723

https://bugzilla.suse.com/show_bug.cgi?id=938723

https://bugzilla.suse.com/show_bug.cgi?id=938728

https://bugzilla.suse.com/show_bug.cgi?id=939516

https://bugzilla.suse.com/show_bug.cgi?id=949766

https://bugzilla.suse.com/show_bug.cgi?id=949771

https://www.suse.com/security/cve/CVE-2014-8111/

https://www.suse.com/security/cve/CVE-2015-3183/

https://www.suse.com/security/cve/CVE-2015-3185/

https://www.suse.com/security/cve/CVE-2015-4000/

http://www.nessus.org/u?a2958bff

プラグインの詳細

深刻度: Low

ID: 86703

ファイル名: suse_SU-2015-1851-1.nasl

バージョン: 2.15

タイプ: local

エージェント: unix

公開日: 2015/11/3

更新日: 2022/12/5

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: Low

Base Score: 3.7

Temporal Score: 3.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:apache2, p-cpe:/a:novell:suse_linux:apache2-debuginfo, p-cpe:/a:novell:suse_linux:apache2-debugsource, p-cpe:/a:novell:suse_linux:apache2-example-pages, p-cpe:/a:novell:suse_linux:apache2-mod_auth_kerb, p-cpe:/a:novell:suse_linux:apache2-mod_auth_kerb-debuginfo, p-cpe:/a:novell:suse_linux:apache2-mod_auth_kerb-debugsource, p-cpe:/a:novell:suse_linux:apache2-mod_jk, p-cpe:/a:novell:suse_linux:apache2-mod_jk-debuginfo, p-cpe:/a:novell:suse_linux:apache2-mod_jk-debugsource, p-cpe:/a:novell:suse_linux:apache2-mod_security2, p-cpe:/a:novell:suse_linux:apache2-mod_security2-debuginfo, p-cpe:/a:novell:suse_linux:apache2-mod_security2-debugsource, p-cpe:/a:novell:suse_linux:apache2-prefork, p-cpe:/a:novell:suse_linux:apache2-prefork-debuginfo, p-cpe:/a:novell:suse_linux:apache2-utils, p-cpe:/a:novell:suse_linux:apache2-utils-debuginfo, p-cpe:/a:novell:suse_linux:apache2-worker, p-cpe:/a:novell:suse_linux:apache2-worker-debuginfo, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/10/22

脆弱性公開日: 2015/4/21

参照情報

CVE: CVE-2014-8111, CVE-2015-3183, CVE-2015-3185, CVE-2015-4000

BID: 74265, 74733, 75963, 75965