セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2579-1 apache2

Debian セキュリティ勧告

DSA-2579-1 apache2 -- 複数の問題

報告日時:

2012-11-30

影響を受けるパッケージ:

apache2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 689936.
Mitre の CVE 辞書: CVE-2012-4557, CVE-2012-4929.

詳細:

Apache HTTPD サーバに脆弱性が見つかりました:

• CVE-2012-4557

  応答が遅すぎるバックエンドのサーバに mod_proxy_ajp が接続する際に欠陥が見つかりました。 特定の設定では、リモートの攻撃者が特定のリクエストを送ることで、 再試行タイムアウトの期限が切れるまでバックエンドのサーバをエラーの状態にすることが可能です。 これは一時的なサービス拒否につながる可能性があります。

さらに、この更新では以下に挙げるサーバ側の問題を軽減しています:

• CVE-2012-4929

  ウェブブラウザとの HTTPS 接続に SSL/TLS データ圧縮を使っている場合、 中間者攻撃者が平文の HTTP ヘッダを取得する可能性があります。この問題は CRIME 攻撃として知られています。apache2 のこの更新で SSL 圧縮はデフォルトで無効にされています。新しい SSLCompression ディレクティブがバックポートされ、CRIME 攻撃が問題とならない環境ではこれを使って SSL データ圧縮を再び有効化することができます。さらなる情報については、SSLCompression ディレクティブの文書を参照してください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.2.16-6+squeeze10 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 2.2.22-12 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.2.22-12 で修正されています。

直ちに apache2 パッケージをアップグレードすることを勧めます。