Oracle Linux 3：httpd (ELSA-2008-0005)

medium Nessus 插件 ID 67631

语言：

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2008:0005：

更新后的 Apache httpd 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Linux 3。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

Apache HTTP Server 是一款流行的 Web 服务器。

在 mod_imap 模块中发现一个缺陷。在启用了 mod_imap 并且 imagemap 文件公开可用的站点上，可能出现跨站脚本攻击。(CVE-2007-5000)

在 mod_autoindex 模块中发现一个缺陷。在使用了目录列表并从配置中删除了“AddDefaultCharset”指令的站点上，可以针对未按照 RFC 2616 中的规则正确衍生响应字符集的 Web 浏览器进行跨站脚本攻击。
(CVE-2007-4465)

在 mod_proxy 模块中发现一个缺陷。在配置反向代理的站点，远程攻击者可发送精心构建的请求，从而导致处理该请求的 Apache 子进程崩溃。在配置转发代理的站点，如果说服用户使用代理访问恶意站点，攻击者可能造成类似的崩溃。如果使用线程式多重处理模块，这可能导致拒绝服务。(CVE-2007-3847)

在 mod_status 模块中发现一个缺陷。在启用了 mod_status 并且状态页面公开可用的站点上，可以进行跨站脚本攻击。(CVE-2007-6388)

在 mod_proxy_ftp 模块中发现一个缺陷。在启用了 mod_proxy_ftp 并且配置了转发代理的站点上，可以针对未正确按照 RFC 2616 中的规则派生响应字符集的 Web 浏览器进行跨站脚本攻击。(CVE-2008-0005)

Apache httpd 用户应升级这些更新后的程序包，其中包含用于解决这些问题的向后移植的修补程序。用户应在安装此更新后重新启动 httpd。