此更新包含 Apache HTTP Server 的 2.2.23 版本。

http://www.eu.apache.org/dist/httpd/CHANGES_2.2.23

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:0512 公告中提及的多个漏洞的影响。

    这些 httpd 程序包含有 Apache HTTP Server (httpd)，即 Apache Software Foundation 的 namesake 项目。

    在 mod_negotiation Apache HTTP Server 模块中发现输入审查缺陷。如果远程攻击者能够在启用了 MultiViews 选项的目录中上传或创建任意名称的文件，则可利用此缺陷对访问该站点的用户进行跨站脚本攻击。 （CVE-2008-0455， CVE-2012-2687）

    已发现 mod_proxy_ajp 在负载平衡器模式中用于包含 mod_proxy 的配置时，如果请求处理超时，会将后端服务器标记为失败，即使后端响应了上一个 AJP (Apache JServ Protocol)CPing 请求也一样。能够使后端使用过多时间来处理请求的远程攻击者可导致 mod_proxy 在重试超时期限内不向后端 AJP 服务器发送请求，或直到所有后端服务器都标记为已失败。 (CVE-2012-4557)

    这些更新后的 httpd 程序包中包含许多缺陷补丁和增强。
    空间有限，无法在此公告中记载所有这些更改。有关这些最重要的变更的信息，用户可参阅在“参考”部分中链接的 Red Hat Enterprise Linux 6.4 技术札记。

    建议所有 httpd 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序，并添加了这些增强。安装更新后的程序包后，httpd 后台程序将自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 httpd 套件，可修正多個安全性問題、各種錯誤，並且新增增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

httpd 套件包含 Apache HTTP Server (httpd)，此為 Apache 軟體基金會的 namesake 專案。

在 mod_negotiation 模組中發現輸入清理瑕疵。遠端攻擊者若能以任意名稱在已啟用 MultiViews 選項的目錄中上傳或建立檔案，便可利用這些瑕疵對造訪該網站的使用者發動跨網站指令碼及 HTTP 回應分割攻擊。(CVE-2008-0455、CVE-2008-0456、CVE-2012-2687)

錯誤修正：

* 之前，在執行「mod_ssl」套件的「%post」指令碼之前，不會檢查 /etc/pki/tls/private/localhost.key 檔案是否為有效的金鑰。因此，當 /etc/pki/tls/certs/localhost.crt 不存在且「localhost.key」出現但無效時，使用 mod_ssl 升級 Apache HTTP Server 程序 (httpd) 會失敗。「%post」指令碼已修正，可測試現有的 SSL 金鑰。因此，現在使用 mod_ssl 升級 httpd 可如預期般進行。(BZ#752618)

* 「mod_ssl」模組不支援 FIPS 模式下的作業。
因此，在啟用 FIPS 模式的情況下操作 Red Hat Enterprise Linux 5 時，httpd 會無法啟動。現已套用上游修補程式，如果在 FIPS 模式下操作，將會停用非 FIPS 功能，且 httpd 現在會如預期般啟動。(BZ#773473)

* 在此更新之前，httpd 結束狀態程式碼與 Linux Standard Base (LSB) 不相容。當執行 'service httpd reload' 命令且 httpd 失敗時，傳回的結束狀態程式碼為「0」，而不是如預期的在 1 至 6 的範圍內。現已套用修補程式至 init 指令碼，且現在 httpd 會傳回「1」作為結束狀態程式碼。
(BZ#783242)

* 區塊傳輸編碼詳述於 RFC 2616 中。之前，Apache 伺服器並未正確處理具有 32 位元組或更多的「chunk-size」或「chunk-extension」值的區塊編碼 POST 要求。
因此，當提出這類 POST 要求時，伺服器不會回應。現已套用上游修補程式，因此不會再發生此問題。(BZ#840845)

* 由於迴歸的原因，當 mod_cache 收到無法快取的 304 回應時，會提供錯誤的標頭。因此，壓縮的資料可傳回給用戶端，但卻沒有快取標頭指示該資料是壓縮的。現已套用上游修補程式，在來自快取的資料提供給用戶端之前，會合併回應和快取的標頭。因此，用戶端現在可以正確解譯快取資料。(BZ#845532)

* 在 Proxy 組態中，並未正確處理特定的回應行字串。如果從原始伺服器收到沒有「說明」字串的回應行，則針對非標準狀態程式碼 (例如「450」狀態程式碼)，會傳回「500 內部伺服器錯誤」給用戶端。此錯誤已修正，因此會將原始回應行傳回給用戶端。(BZ#853128)

增強功能：

* 除了先前已引入的「LDAPChaseReferrals」之外，現在也支援組態指示詞「LDAPReferrals」。
(BZ#727342)

* 針對「mod_proxy」的 AJP 支援模組「mod_proxy_ajp」，現在開始支援「ProxyErrorOverride」指示詞。因此，現在可以針對透過 AJP 存取之後端伺服器上執行的 Web 應用程式，設定自訂的錯誤頁面。(BZ#767890)

* 現在可以停用會在套件升級之後自動重新啟動 httpd 服務的「%posttrans」程式碼片段。如果 /etc/sysconfig/httpd-disable-posttrans 檔案存在，則程式碼片段不會重新啟動程序。(BZ#833042)

* 「httpd -S」的輸出現在會包含每個虛擬主機的已設定別名。(BZ#833043)

* 現在，新的憑證變數名稱是由使用「_DN_userID」尾碼的「mod_ssl」所顯露，例如「SSL_CLIENT_S_DN_userID」，其中使用了常用的「userID」之物件識別碼 (OID) 定義，亦即 OID 0.9.2342.19200300.100.1.1。(BZ#840036)

建議所有 httpd 使用者皆升級至這些更新版套件，其可修正這些問題並新增這些增強功能。

在 mod_negotiation 模組中發現輸入清理瑕疵。遠端攻擊者若能以任意名稱在已啟用 MultiViews 選項的目錄中上傳或建立檔案，便可利用這些瑕疵對造訪該網站的使用者發動跨網站指令碼及 HTTP 回應分割攻擊。(CVE-2008-0455、CVE-2008-0456、CVE-2012-2687)

錯誤修正：

- 之前，在執行「mod_ssl」套件的「%post」指令碼之前，不會檢查 /etc/pki/tls/private/localhost.key 檔案是否為有效的金鑰。因此，當 /etc/pki/tls/certs/localhost.crt 不存在且「localhost.key」出現但無效時，使用 mod_ssl 升級 Apache HTTP Server 程序 (httpd) 會失敗。
 「%post」指令碼已修正，可測試現有的 SSL 金鑰。因此，現在使用 mod_ssl 升級 httpd 可如預期般進行。

-「mod_ssl」模組不支援 FIPS 模式下的作業。因此，在啟用 FIPS 模式的情況下操作 Scientific Linux 5 時，httpd 會無法啟動。現已套用上游修補程式，如果在 FIPS 模式下操作，將會停用非 FIPS 功能，且 httpd 現在會如預期般啟動。

- 在此更新之前，httpd 結束狀態程式碼與 Linux Standard Base (LSB) 不相容。當執行 'service httpd reload' 命令且 httpd 失敗時，傳回的結束狀態程式碼為「0」，而不是如預期的在 1 至 6 的範圍內。現已套用修補程式至 init 指令碼，且現在 httpd 會傳回「1」作為結束狀態程式碼。

- 區塊傳輸編碼詳述於 RFC 2616 中。
 之前，Apache 伺服器並未正確處理具有 32 位元組或更多的「chunk- size」或「chunk-extension」值的區塊編碼 POST 要求。
 因此，當提出這類 POST 要求時，伺服器不會回應。現已套用上游修補程式，因此不會再發生此問題。

- 由於迴歸的原因，當 mod_cache 收到無法快取的 304 回應時，會提供錯誤的標頭。因此，壓縮的資料可傳回給用戶端，但卻沒有快取標頭指示該資料是壓縮的。現已套用上游修補程式，在來自快取的資料提供給用戶端之前，會合併回應和快取的標頭。因此，用戶端現在可以正確解譯快取資料。

- 在 Proxy 組態中，並未正確處理特定的回應行字串。如果從原始伺服器收到沒有「說明」字串的回應行，則針對非標準狀態程式碼 (例如「450」狀態程式碼)，會傳回「500 內部伺服器錯誤」給用戶端。此錯誤已修正，因此會將原始回應行傳回給用戶端。

增強功能：

- 除了先前已引入的「LDAPChaseReferrals」之外，現在也支援組態指示詞「LDAPReferrals」。

- 針對「mod_proxy」的 AJP 支援模組「mod_proxy_ajp」，現在開始支援「ProxyErrorOverride」指示詞。
 因此，現在可以針對透過 AJP 存取之後端伺服器上執行的 Web 應用程式，設定自訂的錯誤頁面。

- 現在可以停用會在套件升級之後自動重新啟動 httpd 服務的「%posttrans」程式碼片段。如果 /etc/sysconfig/httpd- disable-posttrans 檔案存在，則程式碼片段不會重新啟動程序。

-「httpd -S」的輸出現在會包含每個虛擬主機的已設定別名。

- 現在，新的憑證變數名稱是由使用「_DN_userID」尾碼的「mod_ssl」所顯露，例如「SSL_CLIENT_S_DN_userID」，其中使用了常用的「userID」之物件識別碼 (OID) 定義，亦即 OID 0.9.2342.19200300.100.1.1。

遠端 Oracle Linux 5 主機中安裝的套件受到 ELSA-2013-0130 公告中提及的多個弱點影響。

    - 新增 的安全性修正 CVE-2008-0456
    - 新增 CVE-2012-2687 的安全性修正 (#850794)

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

此更新內含 Apache HTTP Server 的 2.2.23 版本。

http://www.eu.apache.org/dist/httpd/CHANGES_2.2.23

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2013:0512 公告中提及的多個弱點影響。

    httpd 套件包含 Apache HTTP Server (httpd)，此為 Apache 軟體基金會的 namesake 專案。

    在 mod_negotiation Apache HTTP Server 模組中發現輸入清理瑕疵。遠端攻擊者若能在已啟用 MultiViews 選項的目錄中上傳或建立任意名稱的檔案，就可利用此瑕疵，對造訪該網站的使用者發動跨網站指令碼攻擊。 (CVE-2008-0455、 CVE-2012-2687)

    據發現，在負載平衡器模式之 mod_proxy 組態中使用 mod_proxy_ajp 時，mod_proxy_ajp 會在要求處理逾時，甚至在後端回應先前之 AJP (Apache JServ Protocol) CPing 要求時，將後端伺服器標記為失敗。遠端攻擊者若能讓後端使用過多的時間來處理要求，就可造成 mod_proxy 在重試逾時期間，或在所有後端伺服器皆標記為失敗之前，無法將要求傳送至後端 AJP 伺服器。 (CVE-2012-4557)

    這些更新版 httpd 套件包含多個錯誤修正及增強功能。
    因空間所限，無法在此公告中記錄所有這些變更。系統將使用者導向至＜參照＞一節中的 Red Hat Enterprise Linux 6.4 「技術提示」文件連結，以便其了解這些變更中最重要項目的資訊。

    建議所有 httpd 使用者皆升級至這些更新版套件，其中包含可更正這些問題的反向移植修補程式，並新增這些增強功能。安裝更新版套件之後，httpd 程序會自動重新啟動。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
64595	Fedora 17：httpd-2.2.23-1.fc17 (2013-1661)	Nessus	Fedora Local Security Checks	2013/2/13	2021/1/11	medium
64761	RHEL 6：httpd (RHSA-2013:0512)	Nessus	Red Hat Local Security Checks	2013/2/21	2025/4/15	medium
63575	CentOS 5：httpd (CESA-2013:0130)	Nessus	CentOS Local Security Checks	2013/1/17	2021/1/4	medium
63597	Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 httpd	Nessus	Scientific Linux Local Security Checks	2013/1/17	2021/1/14	medium
68701	Oracle Linux 5httpd (ELSA-2013-0130)	Nessus	Oracle Linux Local Security Checks	2013/7/12	2025/4/29	medium
64595	Fedora 17 : httpd-2.2.23-1.fc17 (2013-1661)	Nessus	Fedora Local Security Checks	2013/2/13	2021/1/11	medium
64761	RHEL 6：httpd (RHSA-2013:0512)	Nessus	Red Hat Local Security Checks	2013/2/21	2025/4/15	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium