Debian セキュリティ勧告

DLA-71-1 apache2 -- LTS セキュリティ更新

報告日時:
2014-10-16
影響を受けるパッケージ:
apache2
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-5704, CVE-2014-3581.
詳細:

この更新では apache2 のセキュリティ問題を2件修正しています。

  • CVE-2013-5704

    他のモジュールによって先に行われたヘッダ操作の回避に悪用できるため HTTP ヘッダを HTTP トレイラーで置き換える可能性を無効化。 新しい MergeTrailers ディレクティブを使うことで以前の動作にもできます。

  • CVE-2014-3581

    mod_cache を利用していてキャッシュされたリクエストに空の Content-Type ヘッダが含まれると Apache がセグメンテーション違反を起こす可能性があるサービス拒否を修正。

Debian 6Squeezeでは、この問題は apache2 バージョン 2.2.16-6+squeeze14 で修正されています。