Debian セキュリティ勧告

DSA-2298-2 apache2 -- サービス拒否攻撃

報告日時:
2011-09-05
影響を受けるパッケージ:
apache2
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-1452, CVE-2011-3192.
詳細:

Apache HTTPD ウェブサーバに二つの問題が発見されました。

  • CVE-2011-3192

    Apache HTTPD サーバで複数の重複する範囲を処理する方法に欠陥が発見され ました。この欠陥により、攻撃者から Apache HTTPD が多量のメモリを使うよ うし向けることが可能なため、サービス拒否攻撃を起こすことができます。

  • CVE-2010-1452

    mod_dav に欠陥があり、デーモンをクラッシュさせることができるため、サー ビス拒否攻撃が可能であることが発見されました。この問題は、旧安定版 Debian 5.0 (lenny) でのみ影響があります。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題 はバージョン 2.2.9-10+lenny11 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.2.16-6+squeeze3 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバー ジョン 2.2.19-3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 2.2.19-3 で修正されています。

直ぐに apache2 パッケージをアップグレードすることを勧めます。

この更新では、更新された apache2 パッケージに対応して再コンパイルされた 更新済みの apache2-mpm-itk パッケージも提供しています。新バージョンは、 旧安定版では 2.2.6-02-1+lenny6 です。安定版 (stable) では、apache2 と同 じバージョンです。