セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2637-1 apache2

Debian セキュリティ勧告

DSA-2637-1 apache2 -- 複数の問題

報告日時:

2013-03-04

影響を受けるパッケージ:

apache2

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3499, CVE-2012-4558, CVE-2013-1048.

詳細:

複数の欠陥が Apache HTTPD サーバに発見されました。

• CVE-2012-3499

  モジュール mod_info、mod_status、mod_imagemap、mod_ldap、mod_proxy_ftp が HTML 出力のホスト名および URI を適切にエスケープしておらず、 クロスサイトスクリプティング脆弱性を引き起こします。

• CVE-2012-4558

  Mod_proxy_balancer が balancer-manager インターフェイスのホスト名および URI を適切にエスケープしておらず、 クロスサイトスクリプティング脆弱性を引き起こします。

• CVE-2013-1048

  Hayawardh Vijayakumar さんが、apache2ctl スクリプトがロック用ディレクトリを安全でない方法により作成していることに気付きました。 シンボリックリンク攻撃を経由して、ローカルの攻撃者に昇格した権限の獲得を許します。 これは Debian 固有の問題です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.2.16-6+squeeze11 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 2.2.22-13 で修正される予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.2.22-13 で修正される予定です。

直ちに apache2 パッケージをアップグレードすることを勧めます。