セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2989-1 apache2

Debian セキュリティ勧告

DSA-2989-1 apache2 -- セキュリティ更新

報告日時:

2014-07-24

影響を受けるパッケージ:

apache2

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-0118, CVE-2014-0226, CVE-2014-0231.

詳細:

Apache HTTP サーバに複数のセキュリティ問題が発見されています。

• CVE-2014-0118

  mod_deflate の DEFLATE 入力フィルター (リクエスト本文を伸張) が、伸張すると非常に大きなサイズになるように細工したリクエストデータを経由したサービス拒否 (リソース消費) をリモートの攻撃者に許します。

• CVE-2014-0226

  mod_status に競合状態が見つかりました。 スレッドMPMを利用している公開サーバのサーバ状態ページにアクセスできる攻撃者が巧妙に細工したリクエストを送ることによりヒープバッファオーバーフローを引き起こすことが可能で、サービス拒否や機密情報の公開、 潜在的には任意のコードの実行につながる可能性があります。

• CVE-2014-0231

  mod_cgid に欠陥が見つかりました。mod_cgid を使っているサーバで標準入力からデータを読み取らないCGIスクリプトをホストしている場合に、 リモートの攻撃者が子プロセスを無制限にハングさせることが可能で、 サービス拒否につながります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.2.22-13+deb7u3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2.4.10-1 で修正される予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.4.10-1 で修正されています。

直ちに apache2 パッケージをアップグレードすることを勧めます。