Scientific Linux 安全性更新:SL4.x i386/x86_64 上的 httpd
medium Nessus Plugin ID 60753
語系:
概要
遠端 Scientific Linux 主機缺少一個或多個安全性更新。說明
CVE-2010-0434 httpd:要求標頭資訊洩漏在 Apache HTTP Server 處理子要求之要求標頭的方式中,發現釋放後使用 (use-after-free) 瑕疵。在使用子要求的組態中,多執行緒多重處理模組 (MPM) 可能在回覆要求過程中洩漏其他要求的資訊。(CVE-2010-0434)
此更新也可修正下列錯誤:
- 在 mod_dav 模組中發現一個錯誤。如果對現有檔案的 PUT 要求失敗,該檔案將遭意外刪除,並且記錄「無法獲取下一斗鏈式儲存區」錯誤。實施此更新之後,失敗的 PUT 要求不會再導致 mod_dav 刪除檔案,進而解決此問題。(BZ#572932)
此外,此更新還新增了下列增強功能:
- 安裝 RHSA-2010:0163 的更新版 openssl 套件後,mod_ssl 會拒絕與不支援 RFC 5746 的未修補用戶端重新交涉 TLS/SSL 連線。此更新新增了「SSLInsecureRenegotiation」組態指示詞。如果啟用此指示詞,mod_ssl 將會與未修補的用戶端進行不安全的重新交涉。(BZ#575805)
如需更多關於已變更之 mod_ssl 行為的詳細資訊,請參閱下列 Red Hat 知識庫文章:
http://kbase.redhat.com/faq/docs/DOC-20491
安裝更新版套件後,必須先重新啟動 httpd 程序,更新才會生效。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/articles/20490
https://bugzilla.redhat.com/show_bug.cgi?id=572932
Plugin 詳細資訊
嚴重性: Medium
ID: 60753
檔案名稱: sl_20100325_httpd_on_SL4_x.nasl
版本: 1.8
類型: local
代理程式: unix
已發布: 2012/8/1
已更新: 2021/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.5
CVSS v2
風險因素: Medium
基本分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
弱點資訊
CPE: x-cpe:/o:fermilab:scientific_linux
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
修補程式發佈日期: 2010/3/25
參考資訊
CVE: CVE-2010-0434
CWE: 200