-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-16
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/07/21
 最終更新日   : 2016/07/21

 パッケージ名 : httpd
 
 タイトル : CGI サーバが Proxy の値が環境変数 HTTP_PROXY に設定される脆弱性
 
 概要 : Apache は最も有名で、高性能な Web サーバです。
 
      CGI が稼働しているウェブサーバにおいて、リモートクライアントから Proxy ヘッダを
      含んだリクエストを受信した場合に、この Proxy ヘッダ情報がウェブサーバの環境変数
      HTTP_PROXY に意図せずに設定される脆弱性が存在します。
 
 影響 : 第三者が細工した Proxy ヘッダリクエストを本脆弱性が存在するサーバで受信すると、
      中間者攻撃(man-in-the-middle attack)を受けたり、不正なサーバに接続される可能性があります。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u httpd httpd-devel httpd-manual mod_ssl
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   httpd-2.2.6-35.src.rpm
      4833447 3a688d5493d1197b0e6d1a56c3c9163f

   Binary Packages
   Size: MD5

   httpd-2.2.6-35.x86_64.rpm
      1041293 1b311e7b19da07977a85431c336a885e
   httpd-devel-2.2.6-35.x86_64.rpm
       155508 a3b4f22dfdf67c743e48a340d95f3305
   httpd-manual-2.2.6-35.x86_64.rpm
       861111 7115998acae826cbd89608e76798a335
   httpd-rootsrv-2.2.6-35.x86_64.rpm
       233681 b98bf7f6214731199d4d65bf4abcc717
   mod_ssl-2.2.6-35.x86_64.rpm
        92327 277b4d76a072ef8026d94ededec9623b

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   httpd-2.2.6-35.src.rpm
      4833447 3a688d5493d1197b0e6d1a56c3c9163f

   Binary Packages
   Size: MD5

   httpd-2.2.6-35.i686.rpm
       983012 277d51615c356b8cb9433eaf9e7a7531
   httpd-devel-2.2.6-35.i686.rpm
       155687 ab4b54c4bb9591009afa37ea3b9465b3
   httpd-manual-2.2.6-35.i686.rpm
       861501 6ad2da5610ca0a7e70b92c7fb8a88825
   httpd-rootsrv-2.2.6-35.i686.rpm
       222222 0705cde49cbb71befcfbe6e94363fc8c
   mod_ssl-2.2.6-35.i686.rpm
        88035 99790daf0b45f859221f5f17cde0e82e

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/httpd-2.2.6-35.src.rpm
      4823111 f1d7b95ee4ac4950735815ddee33cf28

   Binary Packages
   Size: MD5

   httpd-2.2.6-35.x86_64.rpm
      1041293 1b311e7b19da07977a85431c336a885e
   httpd-devel-2.2.6-35.x86_64.rpm
       155508 a3b4f22dfdf67c743e48a340d95f3305
   httpd-manual-2.2.6-35.x86_64.rpm
       861111 7115998acae826cbd89608e76798a335
   mod_ssl-2.2.6-35.x86_64.rpm
        92327 277b4d76a072ef8026d94ededec9623b

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/httpd-2.2.6-35.src.rpm
      4833447 3a688d5493d1197b0e6d1a56c3c9163f

   Binary Packages
   Size: MD5

   httpd-2.2.6-35.i686.rpm
       983012 277d51615c356b8cb9433eaf9e7a7531
   httpd-devel-2.2.6-35.i686.rpm
       155687 ab4b54c4bb9591009afa37ea3b9465b3
   httpd-manual-2.2.6-35.i686.rpm
       861501 6ad2da5610ca0a7e70b92c7fb8a88825
   mod_ssl-2.2.6-35.i686.rpm
        88035 99790daf0b45f859221f5f17cde0e82e


 関連文章 :

 CVE
   [CVE-2016-5387]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5387

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/07/21
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAleQNQUACgkQK0LzjOqIJMx5/QCfXEzs5+RVGzX03wqnxgDCw4w2
haEAnRM/Vbzn3px3dDKof8llr5m80OEp
=rcfx
-----END PGP SIGNATURE-----