ex1-lab

Linux, CentOS, Mac OS X, Windows, 仮想化, Apache等のLinux中心に気になることをメモがわりに・・・

「Apache HTTP Web Server」脆弱性アップデート(複数モジュールにDoSなど5件)

      2017/06/23 この記事は約4分で読むことができます。

概要

The Apache Software Foundation から、Apache HTTP Web Server に関するサービス運用妨害(DoS)などの複数の脆弱性に対する情報がアップデートされ公開されました。

影響を受けるバージョン

この脆弱性で影響が受けるバージョンは以下となります

脆弱性 バージョン
CVE-2017-3167, CVE-2017-3169, CVE-2017-7679 Apache HTTP Web Server 2.2.0 から 2.2.32
CVE-2017-7668) Apache HTTP Web Server 2.2.32
CVE-2017-3167, CVE-2017-3169, CVE-2017-7679 Apache HTTP Web Server 2.4.0 から 2.4.25
CVE-2017-7659, CVE-2017-7668 Apache HTTP Web Server 2.4.25

脆弱性の内容

The Apache Software Foundation から、Apache HTTP Web Server に関して公開されている脆弱性の内容は以下となります

CVE-2017-3167 ap_get_basic_auth_pw()における認証回避の脆弱性
CVE-2017-3169 mod_ssl における NULL ポインタ参照の問題
CVE-2017-7659 mod_http2 における NULL ポインタ参照の問題
CVE-2017-7668 ap_find_token() におけるバッファオーバーリードの脆弱性
CVE-2017-7679 mod_mime におけるバッファオーバーリードの脆弱性

脆弱性の対策

アップデートまたはパッチを適用すると脆弱性の対策が実施されます。

2.4系は最新版に2.4.26 がリリースされていますので、そちらにアップデートします
2.4系の最新版は 「httpd-2.4.26.tar.gz

2.2 系では、2017年06月20日時点でアップデートはリリースされていませんが、各脆弱性に対応したパッチがリリースされているのでパッチを適用します
2.2系はパッチは「Security and official patches」の箇所にありました。そちらよりパッチをダウンロードしてパッチを当てます

1.「/usr/local/src」に移動します
2.Apache本体及びパッチをダウンロードします

  • 「httpd-2.2.32.tar.gz」
  • 「CVE-2017-3167.patch」
  • 「CVE-2017-3169.patch」
  • 「CVE-2017-7668.patch」
  • 「CVE-2017-7679.patch」

3.Apache本体を解凍します

4.CVE-2017-3167.patchのパッチをあてます

5.CVE-2017-3169.patchのパッチをあてます

6.CVE-2017-7668.patchのパッチをあてます

7.CVE-2017-7679.patchのパッチをあてます

8.configure → make → make installと順番におこないます



 - Linux