Scientific Linux 安全性更新:SL4.x i386/x86_64 上的 httpd

medium Nessus Plugin ID 60753
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

描述

CVE-2010-0434 httpd:要求標頭資訊洩漏

在 Apache HTTP Server 處理子要求之要求標頭的方式中,發現釋放後使用 (use-after-free) 瑕疵。在使用子要求的組態中,多執行緒多重處理模組 (MPM) 可能在回覆要求過程中洩漏其他要求的資訊。(CVE-2010-0434)

此更新也可修正下列錯誤:

- 在 mod_dav 模組中發現一個錯誤。如果對現有檔案的 PUT 要求失敗,該檔案將遭意外刪除,並且記錄「無法獲取下一斗鏈式儲存區」錯誤。實施此更新之後,失敗的 PUT 要求不會再導致 mod_dav 刪除檔案,進而解決此問題。(BZ#572932)

此外,此更新還新增了下列增強功能:

- 安裝 RHSA-2010:0163 的更新版 openssl 套件後,mod_ssl 會拒絕與不支援 RFC 5746 的未修補用戶端重新交涉 TLS/SSL 連線。此更新新增了「SSLInsecureRenegotiation」組態指示詞。如果啟用此指示詞,mod_ssl 將會與未修補的用戶端進行不安全的重新交涉。(BZ#575805)

如需更多關於已變更之 mod_ssl 行為的詳細資訊,請參閱下列 Red Hat 知識庫文章:
http://kbase.redhat.com/faq/docs/DOC-20491

安裝更新版套件後,必須先重新啟動 httpd 程序,更新才會生效。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/articles/20490

https://bugzilla.redhat.com/show_bug.cgi?id=572932

https://bugzilla.redhat.com/show_bug.cgi?id=575805

http://www.nessus.org/u?abc24617

Plugin 詳細資訊

嚴重性: Medium

ID: 60753

檔案名稱: sl_20100325_httpd_on_SL4_x.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2012/8/1

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Low

分數: 2.7

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: AV:N/AC:M/Au:N/C:P/I:N/A:N

弱點資訊

CPE: x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2010/3/25

參考資訊

CVE: CVE-2010-0434

CWE: 200