-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2015-19
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2015/10/08
 最終更新日   : 2015/10/08

 パッケージ名 : httpd
 
 タイトル : mod_headers モジュールにディレクティブを回避される脆弱性
 
 概要 : Apache は最も有名で、高性能な Web サーバです。
 
      mod_headers モジュールの欠陥で、第三者がデータのトレーラー部分にヘッダーを
      配置すると "RequestHeader unset" ディレクティブを回避される脆弱性が存在します。 
 
 影響 : 第三者がデータのトレーラー部分にヘッダーを配置すると、"RequestHeader unset"
      ディレクティブが回避される可能性があります。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u httpd httpd-devel httpd-manual mod_ssl
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   httpd-2.2.6-34.src.rpm
      4833178 7c8e9344cfbba73493375604cb28855b

   Binary Packages
   Size: MD5

   httpd-2.2.6-34.x86_64.rpm
      1041395 88dfb9796b21c6ab42efc55d207d8f85
   httpd-devel-2.2.6-34.x86_64.rpm
       155712 993a2f29da8fee174d8d2bd4a310d208
   httpd-manual-2.2.6-34.x86_64.rpm
       861411 fd4778690ec8d89d83509b5eeaaddc42
   httpd-rootsrv-2.2.6-34.x86_64.rpm
       233908 75641c1604e1290ccd60d8e1f60dd3ab
   mod_ssl-2.2.6-34.x86_64.rpm
        92228 582f2028241a54e514ac2eccf15fca9d

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   httpd-2.2.6-34.src.rpm
      4833178 7c8e9344cfbba73493375604cb28855b

   Binary Packages
   Size: MD5

   httpd-2.2.6-34.i686.rpm
       982402 68adf67bc0a8294ffb0e7c7a36a302f4
   httpd-devel-2.2.6-34.i686.rpm
       155842 b4f532de6addb538fddf0c1ae7d39202
   httpd-manual-2.2.6-34.i686.rpm
       861577 904ef4adf099fdf539d41457f8c7112f
   httpd-rootsrv-2.2.6-34.i686.rpm
       223124 9087f5334f867e5abaef7cf50dbbc7cc
   mod_ssl-2.2.6-34.i686.rpm
        87958 31d3dea891e6828c89193e33e7dcf3fc

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/httpd-2.2.6-34.src.rpm
      4822513 6213c96f119aa697be75656bc35edf1f

   Binary Packages
   Size: MD5

   httpd-2.2.6-34.x86_64.rpm
      1041395 88dfb9796b21c6ab42efc55d207d8f85
   httpd-devel-2.2.6-34.x86_64.rpm
       155712 993a2f29da8fee174d8d2bd4a310d208
   httpd-manual-2.2.6-34.x86_64.rpm
       861411 fd4778690ec8d89d83509b5eeaaddc42
   mod_ssl-2.2.6-34.x86_64.rpm
        92228 582f2028241a54e514ac2eccf15fca9d

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/httpd-2.2.6-34.src.rpm
      4833178 7c8e9344cfbba73493375604cb28855b

   Binary Packages
   Size: MD5

   httpd-2.2.6-34.i686.rpm
       982402 68adf67bc0a8294ffb0e7c7a36a302f4
   httpd-devel-2.2.6-34.i686.rpm
       155842 b4f532de6addb538fddf0c1ae7d39202
   httpd-manual-2.2.6-34.i686.rpm
       861577 904ef4adf099fdf539d41457f8c7112f
   mod_ssl-2.2.6-34.i686.rpm
        87958 31d3dea891e6828c89193e33e7dcf3fc


 関連文章 :

 CVE
   [CVE-2013-5704]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5704

 --------------------------------------------------------------------------
 更新履歴
   初版   2015/10/08
 --------------------------------------------------------------------------

 Copyright(C) 2015 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlYVzdkACgkQK0LzjOqIJMycMQCdFZaLgxs80QzdRBTwZBN0ynBE
7SwAniqHZnGoC7MrLmpRg07Qh61yFwqf
=b7OA
-----END PGP SIGNATURE-----