mod_negotiation モジュールで、入力サニタイズの欠陥が見つかりました。MultiViews オプションが有効化されているディレクトリに任意の名前を持つファイルのアップロードや作成を行うことができるリモートの攻撃者が、これらの欠陥を利用して、サイトにアクセスしているユーザーに対してクロスサイトスクリプティングおよび HTTP 応答分割の攻撃を行う可能性があります。（CVE-2008-0455、 CVE-2008-0456、CVE-2012-2687）

バグ修正：

- 以前は、「mod_ssl」パッケージに対して「%post」スクリプトを実行する前に、/etc/pki/tls/private/localhost.key ファイルが有効なキーであるかどうかをチェックしていませんでした。その結果、 /etc/pki/tls/certs/localhost.crt が存在しなくて、「localhost.key」が存在するが無効である場合、 mod_ssl で Apache HTTP Server デーモン（httpd）をアップグレードすることができませんでした。
 現在は、「%post」スクリプトが修正され、既存の SSL キーをテストします。その結果、現在では httpd を mod_ssl でアップグレードすると、期待通りの処理が行われるようになっています。

- 「mod_ssl」モジュールが、FIPS モードの操作をサポートしていませんでした。その結果、FIPS モードを有効にして、Scientific Linux 5 を動作させると、httpd を起動できませんでした。現在は、FIPS モードで動作させる場合に、上流のパッチを適用して、非 FIPS 機能性を無効にすると、 httpd を期待通りに起動できます。

- この更新が出る前は、httpd の終了ステータスコードに Linux Standard Base（LSB）との互換性がありませんでした。コマンド「service httpd reload」が実行されて、 httpd が失敗すると、返される終了ステータスコードは「0」であり、予期されていた 1 ～ 6 の範囲ではありませんでした。init スクリプトにパッチが適用され、現在では httpd が終了ステータスコードとして予期されていた通りの「1」を返すようになっています。

- チャンク転送のコーディングは RFC 2616 で説明されています。
 以前は、「チャンクのサイズ」または「チャンク拡張」の値が 32 バイト以上の場合、Apache サーバーがチャンクエンコードされた POST リクエストを適切に処理していませんでした。
 結果として、このような POST リクエストが作成されても、サーバーは応答していませんでした。現在は、上流のパッチが適用され、この問題は発生しなくなりました。

- 回帰のため、mod_cache がキャッシュできない 304 応答を受け取ると、間違ったヘッダーが提供されていました。その結果、キャッシュされたヘッダーがデータが圧縮されていることを表示することなく、圧縮されたデータがクライアントへ返されていました。上流のパッチが適用されて、キャッシュからのデータがクライアントへ提供される前に、応答とキャッシュされたヘッダーが結合されるようになっています。この結果、現在は、キャッシュされたデータがクライアントによって正しく解釈されています。

- プロキシの構成で、特定の応答行の文字列が適切に処理されていませんでした。「説明」文字列がない応答行が生成元サーバーから受信されると、「450」ステータスコードなどの非標準のステータスコードでは「500 Internal Server Error」がクライアントに返されます。このバグは修正され、現在では、生成元の応答行がクライアントに返されるようになっています。

強化点：

- 以前に導入された「LDAPChaseReferrals」に加えて、構成ディレクティブ「LDAPReferrals」が現在サポートされています。

- 「mod_proxy」、「mod_proxy_ajp」の AJP サポートモジュールが、現在は「ProxyErrorOverride」ディレクティブをサポートします。
 結果として、現在は AJP でアクセスされるバックエンドのサーバーで実行されている Web アプリケーションのエラーページをカスタマイズすることが可能です。

- 現在は、パッケージのアップグレード後に httpd サービスを自動的に再起動する「%posttrans」スクリプトレットを、無効にすることができます。ファイル /etc/sysconfig/httpd-disable-posttrans が存在すると、スクリプトレットがデーモンを再起動しません。

- 現在は、「httpd -S」の出力に、各仮想ホストの設定済みエイリアス名が含まれます。

- 新しい証明書変数の名前は、「_DN_userID」サフィックスを使用して「mod_ssl」で表示されます。たとえば、「SSL_CLIENT_S_DN_userID」などとなり、「userID」の共通オブジェクト識別子（OID）定義である OID 0.9.2342.19200300.100.1.1 を使用します。

リモートの Oracle Linux 5 ホストに、ELSA-2013-0130 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    - のセキュリティ修正を追加 CVE-2008-0456
    - のセキュリティ修正を追加します CVE-2012-2687#850794

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

此更新包含 Apache HTTP Server 的 2.2.23 版本。

http://www.eu.apache.org/dist/httpd/CHANGES_2.2.23

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:0512 公告中提及的多个漏洞的影响。

    这些 httpd 程序包含有 Apache HTTP Server (httpd)，即 Apache Software Foundation 的 namesake 项目。

    在 mod_negotiation Apache HTTP Server 模块中发现输入审查缺陷。如果远程攻击者能够在启用了 MultiViews 选项的目录中上传或创建任意名称的文件，则可利用此缺陷对访问该站点的用户进行跨站脚本攻击。 （CVE-2008-0455， CVE-2012-2687）

    已发现 mod_proxy_ajp 在负载平衡器模式中用于包含 mod_proxy 的配置时，如果请求处理超时，会将后端服务器标记为失败，即使后端响应了上一个 AJP (Apache JServ Protocol)CPing 请求也一样。能够使后端使用过多时间来处理请求的远程攻击者可导致 mod_proxy 在重试超时期限内不向后端 AJP 服务器发送请求，或直到所有后端服务器都标记为已失败。 (CVE-2012-4557)

    这些更新后的 httpd 程序包中包含许多缺陷补丁和增强。
    空间有限，无法在此公告中记载所有这些更改。有关这些最重要的变更的信息，用户可参阅在“参考”部分中链接的 Red Hat Enterprise Linux 6.4 技术札记。

    建议所有 httpd 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序，并添加了这些增强。安装更新后的程序包后，httpd 后台程序将自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

更新后的 httpd 程序包修复了多个安全问题、各种缺陷并添加了增强，现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

这些 httpd 程序包含有 Apache HTTP Server (httpd)，即 Apache Software Foundation 的 namesake 项目。

发现 mod_negotiation 模块具有输入审查缺陷。能够在启用 MultiViews 选项的目录中用任意名称上传或创建文件的远程攻击者，可利用这些缺陷，对访问该站点的用户发起跨站脚本和 HTTP 响应拆分攻击。（CVE-2008-0455、CVE-2008-0456、CVE-2012-2687）

缺陷补丁：

* 以前，在运行“mod_ssl”程序包的“%post”脚本以前，没有检查 /etc/pki/tls/private/localhost.key 文件是否是有效密钥。结果，当 /etc/pki/tls/certs/localhost.crt 不存在且“localhost.key”存在但无效时，用 mod_ssl 更新 Apache HTTP Server 后台程序 (httpd) 失败。已修复“%post”脚本，可测试现有 SSL 密钥。因此，现在可用 mod_ssl 正常更新 httpd。(BZ#752618)

* “mod_ssl”模块不支持 FIPS 模式下的操作。
结果，在启用 FIPS 模式的情况下操作 Red Hat Enterprise Linux 5 时，不能启动 httpd 。已应用上游修补程序来禁用非 FIPS 功能（如在 FIPS 模式下操作），并且现在可正常启动 httpd。(BZ#773473)

* 在本次更新之前，httpd 退出状态代码不符合 Linux Standard Base (LSB)。运行“service httpd reload”命令且 httpd 失败时，返回的退出状态代码为“0”，不在正常的 1 至 6 范围内。已将修补程序应用到 init 脚本，现在 httpd 返回的退出状态代码为“1”。
(BZ#783242)

* 分块传输编码在 RFC 2616 中描述。以前，Apache 服务器没有正确处理“chunk-size”或“chunk-extension”值大于等于 32 字节的分块编码 POST 请求。
结果，发出该等 POST 请求时，服务器没有响应。已应用上游修补程序，不再出现该问题。(BZ#840845)

* 由于使用回归，当 mod_cache 收到不可缓存的 304 响应时，没有正确提供标头。结果，可能在缓存标头没有指示所压缩数据的情况下，向客户端返回压缩数据。在向客户端提供缓存数据之前，已应用上游修补程序来合并响应和缓存标头。因此，现在客户端可正确解释缓存数据。(BZ#845532)

* 在代理配置中，没有正确地处理某些响应行字符串。如果从源服务器接收到不具备“描述”字符串的响应行，那么对于非标准状态代码（如“450”状态代码）来说，可能向客户端返回“500 内部服务器错误”。此缺陷已修复，因此向客户端返回的是原始响应行。(BZ#853128)

增强：

* 除了之前引入的“LDAPChaseReferrals”之外，现在还支持配置指令“LDAPReferrals”。
(BZ#727342)

*“mod_proxy”的 AJP 支持模块“mod_proxy_ajp”现在支持“ProxyErrorOverride”指令。结果，现在可以为后端服务器（通过 AJP 访问）上运行的 Web 应用程序配置自定义的错误页面。(BZ#767890)

* 现在可禁用“%posttrans”scriptlet，它在程序包升级后自动重新启动 httpd 服务。如果存在文件 /etc/sysconfig/httpd-disable-posttrans，则 scriptlet 将不会重新启动后台程序。(BZ#833042)

* “httpd -S”的输出现在包括每个虚拟主机的配置别名。(BZ#833043)

* 现在“mod_ssl”可通过“_DN_userID”后缀（如“SSL_CLIENT_S_DN_userID”）暴露新的证书变量名称，该名称使用通用对象标识符 (OID) 对“userID”进行定义，即 OID 0.9.2342.19200300.100.1.1。(BZ#840036)

建议所有 httpd 用户升级这些更新后的程序包，其中修复了这些问题并添加这些增强。

发现 mod_negotiation 模块具有输入审查缺陷。能够在启用 MultiViews 选项的目录中用任意名称上传或创建文件的远程攻击者，可利用这些缺陷，对访问该站点的用户发起跨站脚本和 HTTP 响应拆分攻击。（CVE-2008-0455、CVE-2008-0456、CVE-2012-2687）

缺陷补丁：

- 以前，在运行“mod_ssl”程序包的“%post”脚本以前，没有检查 /etc/pki/tls/private/localhost.key 文件是否是有效密钥。结果，当 /etc/pki/tls/certs/localhost.crt 不存在且“localhost.key”存在但无效时，用 mod_ssl 更新 Apache HTTP Server 后台程序 (httpd) 失败。
 已修复“%post”脚本，可测试现有 SSL 密钥。因此，现在可用 mod_ssl 正常更新 httpd。

- “mod_ssl”模块不支持 FIPS 模式下的操作。因此，在启用 FIPS 模式的情况下操作 Scientific Linux 5 时，不能启动 httpd。已应用上游修补程序来禁用非 FIPS 功能（如在 FIPS 模式下操作），并且现在可正常启动 httpd。

- 在此更新之前，httpd 退出状态代码不符合 Linux Standard Base (LSB)。运行“service httpd reload”命令且 httpd 失败时，返回的退出状态代码为“0”，不在正常的 1 至 6 范围内。已将修补程序应用到 init 脚本，现在 httpd 返回的退出状态代码为“1”。

- 分块传输编码在 RFC 2616 中描述。
 以前，Apache 服务器没有正确处理“chunk-size”或“chunk-extension”值大于等于 32 字节的分块编码 POST 请求。
 结果，发出该等 POST 请求时，服务器没有响应。已应用上游修补程序，不再出现该问题。

- 由于存在回归，当 mod_cache 收到不可缓存的 304 响应时会错误地提供标头。结果，可能在缓存标头没有指示所压缩数据的情况下，向客户端返回压缩数据。在向客户端提供缓存数据之前，已应用上游修补程序来合并响应和缓存标头。因此，现在客户端可正确解释缓存数据。

- 在代理配置中，没有正确地处理某些响应行字符串。如果从源服务器接收到不具备“描述”字符串的响应行，那么对于非标准状态代码（如“450”状态代码）来说，可能向客户端返回“500 内部服务器错误”。此缺陷已修复，因此向客户端返回的是原始响应行。

增强：

- 除了之前引入的“LDAPChaseReferrals”之外，现在还支持配置指令“LDAPReferrals”。

- “mod_proxy”的 AJP 支持模块“mod_proxy_ajp”现在支持“ProxyErrorOverride”指令。
 结果，现在可以为后端服务器（通过 AJP 访问）上运行的 Web 应用程序配置自定义的错误页面。

- 现在可禁用“%posttrans”scriptlet，它在程序包升级后自动重新启动 httpd 服务。如果存在 /etc/sysconfig/httpd- disable-posttrans 文件，小脚本将不会重新启动后台程序。

- “httpd -S”的输出现在包括每个虚拟主机的配置别名。

- 现在“mod_ssl”可通过“_DN_userID”后缀（如“SSL_CLIENT_S_DN_userID”）暴露新的证书变量名称，该名称使用通用对象标识符 (OID) 对“userID”进行定义，即 OID 0.9.2342.19200300.100.1.1。

远程 Oracle Linux 5 主机上安装的程序包受到 ELSA-2013-0130 公告中提及的多个漏洞的影响。

    - 添加针对 的安全补丁 CVE-2008-0456
    - 添加针对 CVE-2012-2687 的安全补丁 (#850794)

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
63597	Scientific Linux セキュリティ更新：SL5.x i386/x86_64 の httpd	Nessus	Scientific Linux Local Security Checks	2013/1/17	2021/1/14	medium
68701	Oracle Linux 5httpdELSA-2013-0130	Nessus	Oracle Linux Local Security Checks	2013/7/12	2025/4/29	medium
64595	Fedora 17：httpd-2.2.23-1.fc17 (2013-1661)	Nessus	Fedora Local Security Checks	2013/2/13	2021/1/11	medium
64761	RHEL 6：httpd (RHSA-2013:0512)	Nessus	Red Hat Local Security Checks	2013/2/21	2025/4/15	medium
63575	CentOS 5：httpd (CESA-2013:0130)	Nessus	CentOS Local Security Checks	2013/1/17	2021/1/4	medium
63597	Scientific Linux 安全更新：SL5.x i386/x86_64 中的 httpd	Nessus	Scientific Linux Local Security Checks	2013/1/17	2021/1/14	medium
68701	Oracle Linux 5httpd (ELSA-2013-0130)	Nessus	Oracle Linux Local Security Checks	2013/7/12	2025/4/29	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium