Scientific Linux 安全更新：SL5.x i386/x86_64 中的 httpd

medium Nessus 插件 ID 60754

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

CVE-2010-0408 httpd：mod_proxy_ajp 远程临时 DoS

CVE-2010-0434 httpd：请求标头信息泄漏

已发现 mod_proxy_ajp 在处理某些畸形请求时错误地返回“内部服务器错误”响应，这导致在负载平衡器模式下使用 mod_proxy 的配置中的后端服务器被标记为已失败。远程攻击者可以发送特别构建的请求，从而导致 mod_proxy 在重试超时期间（默认为 60 秒）内不将请求发送到后端 AJP (Apache JServ Protocol) 服务器。
(CVE-2010-0408)

已在 Apache HTTP Server 处理子请求中的请求标头的方式中发现一个释放后使用缺陷。在使用了子请求的配置中，多线程 MPM（多重处理模块）可能会在请求回复中泄漏来自其他请求的信息。(CVE-2010-0434)

此更新还添加了以下增强：

- 安装来自 RHSA-2010:0162 的更新后的 openssl 程序包后，mod_ssl 将拒绝与不支持 RFC 5746 的未修复客户端重新协商 TLS/SSL 连接。此更新添加了“SSLInsecureRenegotiation”配置指令。如果启用本指令，则 mod_ssl 将与未修复的客户端进行不安全的重新协商。(BZ#567980)

请参阅以下 Red Hat 知识库文章以了解关于更改的 mod_ssl 行为的更多详细信息：http://kbase.redhat.com/faq/docs/DOC-20491

安装更新后的程序包后，必须重新启动 httpd 后台程序才能使更新生效。