• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0168-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0168-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
httpd (any) httpd-devel (any) httpd-manual (any) mod_ssl (any)
Описание
Apache HTTP Server - это популярный веб-сервер.
Обнаружено, что mod_proxy_ajp возвращает ответ "Internal Server Error" при обработке некоторых некорректных запросов, что приводит к тому, что сервер back-end не функционирует в некоторых конфигурациях, когда mod_proxy используется в режиме балансировки загрузки. Злоумышленник, действующий удаленно, может заставить mod_proxy перестать отправлять запросы серверам AJP (Apache JServ Protocol) в течение таймаута (по умолчанию 60 секунд), отправив ему специально сформированные запросы. (CVE-2010-0408)
Ошибка, связанная с использованием памяти после освобождения, обнаружена в сервере Apache HTTP Server при обработке заголовков запросов в подзапросах. В конфигурациях, где используются подзапросы, многопоточный MPM (Multi-Processing Module) может позволить получить конфиденциальные данные в ответах на другие запросы. (CVE-2010-0434)
Данное обновление также исправляет следующие ошибки:
* При установке RHSA-2010:0162 mod_ssl не позволяет заново создать подключение TLS/SSL с клиентом, который не поддерживает RFC 5746. Это обновление добавляет директиву "SSLInsecureRenegotiation". Если эта директива включена, то mod_ssl может заново создавать небезопасные подключения с клиентами, на которых нен установлены обновления. (BZ#567980)
Дополнительную информацию можно получить в Red Hat Knowledgebase: http://kbase.redhat.com/faq/docs/DOC-20491http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491 /> Всем пользователям httpd рекомендуется обновить программное обеспечение, чтобы решить указанные проблемы. После установки пакетов обновлений необходимо перезапустить демон httpd, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0168.html