パスワードを忘れた? アカウント作成
Close
13563151 story
インターネット

Apache HTTP Serverに複数の脆弱性 5

ストーリー by hylom
重大ではないとはいえ気持ちは悪い 部門より
あるAnonymous Coward 曰く、

Apache HTTP Serverに複数の脆弱性が発見された。この問題を修正したHTTP Server 2.4.33が公開されており、アップデートが推奨されている(JVNVU#95818180窓の杜)。

タレコミ人の使うDebianではsid(開発ブランチ的位置付け)でさえまだ対策版が存在しない。影響範囲の大きいWebサーバーの脆弱性ですが、ディストリの対応を考慮せず公開してしまうという慣例はなんとかならんもんでしょうかね。

問題の脆弱性は、悪用することでDoS攻撃を可能にするものや、認証を回避される可能性があるといったもの。危険性はセッション改ざんのおそれがある「CVE-2018-1283」が「medium」で、残りはいずれも「low」となっている。なお、CHANGELOGなどではバージョン2.4.30でこれらが修正されたとなっているが、バージョン2.4.30~2.4.32は開発者向けのみにリリースされている。

関連リンク

前のストーリー: 「クララが立った」から命名、縄文土偶「くらら」

AMD CPUの脆弱性問題、AMD株価の操作を狙って公表したのではないかという疑いが出る

脆弱性が見つかったコレガの無線LANルーター、2019年までのサポートをうたっていたにも関わらず突然サポート打ち切りに?

Adobe Flash Playerに脆弱性、IPAがアンインストールや無効化などを推奨

Apache HTTP Serverに複数の脆弱性 More | Reply

  • 手元サーバざっと確認 (スコア:0)

    by Anonymous Coward on 2018年03月29日 17時23分 (#3384641)

    Debian Stretch。

    モジュールの脆弱性でひっかかりそうなのが、デフォルトで有効になってたmod_cache_socachemcb(CVE-2018-1303)。
    とりあえず無効にして、関係ありそうなところ(SSL)コメントアウト、でいけるかしら。
    それ以外のモジュールは、デフォルトでは有効になってない(使ってもいない)。
    HTTP/2(CVE-2018-1302)もやってない。
    <FilesMatch>ディレクティブ(CVE-2017-15715)も使ってなかった。

    唯一、CVE-2018-1301はとりあえずの対応策が見当たらない。あまりリスク高くなさそうだけど。

    ここに返信
    シェア

    • Re: (スコア:0)

      by Anonymous Coward

      DebianだとCVE番号で確認できますね
      security-tracker.debian.org/tracker/CVE-YYYY-*****
      みたいな

      今回のは以下の7つ
      https://security-tracker.debian.org/tracker/CVE-2017-15710 [debian.org]
      ttps://security-tracker.debian.org/tracker/CVE-2017-15715
      tps://security-tracker.debian.org/tracker/CVE-2018-1283
      ps://security-tracker.debian.org/tracker/CVE-2018-1301
      s://security-tracker.debian.org/tracker/CVE-2018-1302
      ://security-tracker.debian.org/tracker/CVE-2018-1303
      //security-tracker.debian.org/tracker/CVE-2018-1312

      # スラド

    • Re: (スコア:0)

      by Anonymous Coward

      スラドでしか脆弱性情報をしいれていないので()ためになります

    • Re: (スコア:0)

      by Anonymous Coward

      Centos6 ですDeath!

      とりあえずRedhatのお知らせ見る限り

      中くらいの影響の CVE-2018-1283 は調査中となっているが、
      2.2系でも2.4系からバックポートされてたりする事もある
      のかな?

      https://access.redhat.com/security/cve/cve-2018-1283 [redhat.com]

  • ディストリごとの対応状況 (スコア:0)

    by Anonymous Coward on 2018年03月29日 19時38分 (#3384696)

    Fedora - 未対応(https://bugzilla.redhat.com/show_bug.cgi?id=1560396)
    SuSE - 未対応(https://bugzilla.suse.com/show_bug.cgi?id=CVE-2018-1283)
    Debian - 未対応(https://security-tracker.debian.org/tracker/CVE-2018-1283)
    Ubuntu - 未対応(https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-1283.html)
    Gentoo - 未対応(https://bugs.gentoo.org/show_bug.cgi?id=CVE-2018-1283)
    RedHat - 調査中(https://access.redhat.com/security/cve/cve-2018-1283)
    Arch - 対応済み(https://security.archlinux.org/AVG-664)

    ここに返信
    シェア
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人