-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2005-2 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2005/01/13 最終更新日 : 2005/01/14 パッケージ名 : httpd タイトル : apache に複数の弱点 概要 : Apache は最も有名で、高性能な Web サーバです。 Apache の以下のセキュリティホールを修正しました。 - mod_ssl モジュールにおいて、FakeBasicAuth の処理にバッファオーバーフローの脆弱性が存在します。 - mod_ssl モジュールが無限ループにおちいり、CPU リソースを消費してしまう問題が存在します。 - SSL サーバが reverse proxying を有効にしている場合、httpd の子プロセスをクラッシュされる可能性があります。 - mod_dav モジュールにおいて、DoS 攻撃を受けてしまう問題が存在します。 - mod_ssl モジュールにおいて、SSLCipherSuite ディレクティブを使用した環境で、許可をしていないロケーションに アクセス出来てしまう問題が存在します。 - 大量の空白文字を含む MIME ヘッダを受信することにより DoS 攻撃を受けてしまう問題が存在します。 影響 : この脆弱性を利用され、遠隔地の第三者に DoS 攻撃を受けたり任意のコマンドを実行される可能性があります。 影響製品 : - Turbolinux 10 Server - ターボリナックス ホーム - Turbolinux 10 F... - Turbolinux 10 Desktop 対策方法 : 下記パッケージにアップデートを行って下さい。 [ターボリナックス ホーム ディスクトップ の場合] アップデートは、左上にあるアイコンをクリックし Turboアップデートを起動し行って下さい。 [Turbolinux 10 Server, Turbolinux 10 Desktop, Turbolinux 10 F... の場合] アップデートは、Kメニュー「左端の Turbolinux のロゴ」をクリックし Turboアップデートを起動し行って下さい。 コンソールから実行する場合 ---------------------------------------- [Turbolinux 10 Server] # zabom -u httpd httpd-debug httpd-devel httpd-manual mod_bwshare mod_ssl [Turbolinux 10 Desktop, Turbolinux 10 F..., ターボリナックス ホーム の場合] # zabom -u httpd ---------------------------------------- turbopkg(zabom) が使用できない環境では、パッケージを個別にダウンロードし 下記コマンドを実行して下さい。 ---------------------------------------- # rpm -Fvh httpd-2.0.51-8.i586.rpm \ httpd-debug-2.0.51-8.i586.rpm \ httpd-devel-2.0.51-8.i586.rpm \ httpd-manual-2.0.51-8.i586.rpm \ mod_bwshare-2.0.51-8.i586.rpm \ mod_ssl-2.0.51-8.i586.rpm ---------------------------------------- Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/httpd-2.0.51-8.src.rpm 6842122 6f911bda264f6b7b9989f5c1e81d4ac0 Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/httpd-2.0.51-8.i586.rpm 1032135 214e7c3d1c27cd45e0791d0f85d0d087 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/httpd-debug-2.0.51-8.i586.rpm 3238970 965c8ca35632af6c9bb1360d1fa42e40 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/httpd-devel-2.0.51-8.i586.rpm 222848 dde33db66f69d76c1a87edca5298b9d7 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/httpd-manual-2.0.51-8.i586.rpm 1130005 e931dda35b3bdd4261318ee1435b6f6c ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/mod_bwshare-2.0.51-8.i586.rpm 39007 9722beda50813c05b89e85d49da54e11 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/mod_ssl-2.0.51-8.i586.rpm 86975 f949a8b78974c746446467c077b6e604 Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/SRPMS/httpd-2.0.48-15.src.rpm 6315957 5264ab25976140082ab5310ea8c15ec9 Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/httpd-2.0.48-15.i586.rpm 892409 4f78d678fc9b9da1db1af6779f3627e0 注意事項 : apache を使用している場合は、アップデート後、apache を再起動して下さい。 root で実行して下さい。 --------------------------------------------- # /etc/init.d/httpd restart もしくは、 # /etc/rc.d/init.d/httpd restart --------------------------------------------- アップデートを行うと mod_bwshare モジュールがデフォルトで有効になってしまい、 Apache に負荷がかかるとデフォルトでアクセス制限を行ってしまう問題が存在します。 modules ファイルを以下のように修正し httpd の restart を行って下さい。 [/etc/httpd/conf/modules] --------------------------------------------- LoadModule bwshare_module /usr/lib/httpd/modules/mod_bwshare.so   ↓ #LoadModule bwshare_module /usr/lib/httpd/modules/mod_bwshare.so --------------------------------------------- 関連文章 : www.apache.org [CHANGES_2.0] http://www.apache.org/dist/httpd/CHANGES_2.0 CVE [CAN-2004-0488] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0488 [CAN-2004-0748] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748 [CAN-2004-0751] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751 [CAN-2004-0809] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809 [CAN-2004-0885] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0885 [CAN-2004-0942] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0942 修正箇所 : [Turbolinux 10 Server] CAN-2004-0855, CAN-2004-0942 [Turbolinux 10 Desktop, Turbolinux 10 F..., ターボリナックス ホーム] CAN-2004-0488, CAN-2004-0748, CAN-2004-0751, CAN-2004-0809, CAN-2004-0885, CAN-2004-0942 -------------------------------------------------------------------------- 更新履歴 初版 2005/01/13 第2版 2005/01/14 注意事項を追記 -------------------------------------------------------------------------- Copyright(C) 2005 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFB58p/K0LzjOqIJMwRAi+8AJ0a7sIZhYSIIEMA/HOdGVBgHnjGoACffEZc 51DlIxb21yP4bUsyqOex/tk= =KV0E -----END PGP SIGNATURE-----