-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2017-2
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2017/07/05
 最終更新日   : 2017/07/05

 パッケージ名 : httpd
 
 タイトル : httpd に複数の脆弱性
 
 概要 : Apache は最も有名で、高性能な Web サーバです。
 
      httpd に複数の脆弱性が存在します。
 
 影響 :ap_get_basic_auth_pw() に認証が回避される脆弱性が存在し、サード
      パーティモジュールにより、ap_get_basic_auth_pw() が使用されると
      認証が回避される可能性があります(CVE-2017-3167)。
 
      mod_ssl に NULL ポインタディリファレンスが発生する脆弱性が存在し、
      HTTPS に HTTP リクエストがあった際、サードパーティモジュールにより
      ap_hook_process_connection() が呼び出された際に NULL ポインタ
      ディリファレンスが発生する可能性があります(CVE-2017-3169)。
 
      ap_find_token() にバッファオーバーリードの脆弱性が存在し、第三者が
      細工したリクエストヘッダが送らると、httpd にてセグメンテーション
      フォルトが発生する可能性がります(CVE-2017-7668)。
 
      mod_mime() にバッファオーバーリードの脆弱性が存在し、第三者が細工
      した Content-Type レスポンスヘッダが送られると、mod_mime がバッファ
      末尾から先の1バイトが読み出される可能性があります(CVE-2017-7679)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u httpd httpd-devel httpd-manual mod_ssl
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   httpd-2.2.6-36.src.rpm
      4826011 8a5572244c96a0bc10b1f47164c21d74

   Binary Packages
   Size: MD5

   httpd-2.2.6-36.x86_64.rpm
      1041577 abbbd79791fa043cceb3919f028cb14d
   httpd-devel-2.2.6-36.x86_64.rpm
       156034 fd60d618bb2588f4b927e2e3838b8985
   httpd-manual-2.2.6-36.x86_64.rpm
       860035 01b7c8e8b1d5e4ad336df2252e3d11d1
   httpd-rootsrv-2.2.6-36.x86_64.rpm
       234374 99fcfb670bbdac4a9668ad27107d4ec2
   mod_ssl-2.2.6-36.x86_64.rpm
        92837 48be6819d173e31296c4bae5cc4dabfe

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   httpd-2.2.6-36.src.rpm
      4826011 8a5572244c96a0bc10b1f47164c21d74

   Binary Packages
   Size: MD5

   httpd-2.2.6-36.i686.rpm
       982065 d301c82f5ecc6c584b5ffea53324c84b
   httpd-devel-2.2.6-36.i686.rpm
       156115 bbf10ff8948b395baa1361a66d2d945a
   httpd-manual-2.2.6-36.i686.rpm
       860595 aafcfd886f5e56aa0d504f412a4266f4
   httpd-rootsrv-2.2.6-36.i686.rpm
       222261 c538c999f7acfbe9496d91fd331b0f09
   mod_ssl-2.2.6-36.i686.rpm
        87982 7731cdb62a7f48ad88696fa189e9c6d5

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/httpd-2.2.6-36.src.rpm
      4826011 a29083899338ef34366a09783f4e364f

   Binary Packages
   Size: MD5

   httpd-2.2.6-36.x86_64.rpm
      1041577 0a3e612256facb0c042b7bacfdf8c35c
   httpd-devel-2.2.6-36.x86_64.rpm
       156034 8be3867ddc25318aa0c69ad9c1fa053c
   httpd-manual-2.2.6-36.x86_64.rpm
       860035 508dbf5ae351b5350f11f178682c9d21
   mod_ssl-2.2.6-36.x86_64.rpm
        92837 2f8403dc491b624694ce17d0f5be000d

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/httpd-2.2.6-36.src.rpm
      4826011 c6459c061513009ec7a83a89e73326f1

   Binary Packages
   Size: MD5

   httpd-2.2.6-36.i686.rpm
       982065 4729518d6183fa8b10f74aa2993b1e9b
   httpd-devel-2.2.6-36.i686.rpm
       156115 4b84062e0a4fea8e5bbd9480331d5102
   httpd-manual-2.2.6-36.i686.rpm
       860595 39051ce80983bdc12e8e00e28e477c58
   mod_ssl-2.2.6-36.i686.rpm
        87982 39c02be47b1b14c985f7a725fdcae7d5


 関連文章 :

 CVE
   [CVE-2017-3167]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3167
   [CVE-2017-3169]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3169
   [CVE-2017-7668]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7668
   [CVE-2017-7679]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7679

 --------------------------------------------------------------------------
 更新履歴
   初版   2017/07/05
 --------------------------------------------------------------------------

 Copyright(C) 2017 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAllcSy4ACgkQK0LzjOqIJMzpOACdFgn0fNczKxT9Vt9pmNARE+n/
LUIAn1DZ1NNTGCGqt3WQZx3D5xb1HuHx
=ew1P
-----END PGP SIGNATURE-----