セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2452-1 apache2

Debian セキュリティ勧告

DSA-2452-1 apache2 -- 安全でない標準の設定

報告日時:

2012-04-15

影響を受けるパッケージ:

apache2

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-0216.

詳細:

Niels Heinen さんにより、mod_php や mod_rivet などのスクリプティングモジュールがインストールされている場合の Debian での標準の Apache の設定にセキュリティ上の問題が発見されました。 この問題は、URL /doc にマップされる /usr/share/doc ディレクトリにサンプルスクリプトが置かれる場合があり、URL を要求することによりそのスクリプトが実行可能であるためです。URL /doc に対するアクセスは localhost からの接続のみに制限されてはいますが、それでも以下の 2 つの場合にこれがセキュリティ問題になることが判明しています。

• もしフロントエンドサーバが同じホストにあり、localhost アドレスの Apache2 バックエンドサーバにコネクションを転送している場合。
• apache2 を実行しているマシンがウェブブラウズに使われている場合。

この 2 つの何れの条件にも当てはまらないシステムでは脆弱性は知られていません。 実際のシステムのセキュリティは、システムにインストールされているパッケージ (対応するサンプルスクリプトの内容) によります。可能性のある問題としては、クロスサイトスクリプティング攻撃や、 任意のコードの実行、機密情報の漏洩などの可能性があります。

この更新では、問題となる設定のセクションを /etc/apache2/sites-available/default および .../default-ssl から削除しています。但し、更新時に盲目的にこれらのファイルを dpkg に置き換えさせるべきではなく、変更をマージするようにしてください。特に、 'Alias /doc "/usr/share/doc"' の削除の部分と、それに関連する <Directory "/usr/share/doc/"> の部分を自分の設定ファイルに反映するようにしてください。 また、仮想ホスト設定にこれらのセクションの変更がコピーされたかをよく確認してください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.2.16-6+squeeze7 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 2.2.22-4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.2.22-4 で修正されています。

実験版 (experimental) ディストリビューションでは、この問題はバージョン 2.4.1-3 で修正されています。

直ぐに apache2 パッケージをアップグレードし、設定を修正することを勧めます。