セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2937-1 mod-wsgi

Debian セキュリティ勧告

DSA-2937-1 mod-wsgi -- セキュリティ更新

報告日時:

2014-05-27

影響を受けるパッケージ:

mod-wsgi

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-0240, CVE-2014-0242.

詳細:

Apache 用 Python WSGI アダプターモジュールにセキュリティ問題が2件見つかりました:

• CVE-2014-0240

  Robert Kisteleki さんがデーモンモードに潜在的な特権の昇格を発見しました。 これは Debian 7.0/wheezy で利用されているカーネルでは悪用不可能です。

• CVE-2014-0242

  Buck Golemon さんが誤ったメモリ処理を発見しました。Content-Type ヘッダ処理時に情報漏洩につながる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 3.3-2+deb6u1 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.3-4+deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 3.5-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.5-1 で修正されています。

直ちに mod-wsgi パッケージをアップグレードすることを勧めます。