blob: b3e01067bd1ffc87a67e0cd770d022b3195a2c26 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の欠陥</define-tag>
<define-tag moreinfo>
<p>TLS および SSL プロトコルに設計上の欠陥があり、攻撃者が TLS/SSL コネク
ションの戦闘に任意のコンテンツを注入可能であることが発見されました。こ
の攻撃は、TLS と SSL がセッション再ネゴシエーションを扱う方法に関連して
います。この欠陥には番号 <a href="https://security-tracker.debian.org/tracker/CVE-2009-3555">CVE-2009-3555</a> が割り当てられています。</p>
<p>この攻撃に対する部分的な緩和策として、この apache2 の更新ではクライアン
ト側から要求される再ネゴシエーションを無効化しています。これは、現在使
用されている Apache の設定の大部分で欠陥を修正するはずです。</p>
<p>注意: これは問題の完全な解決策ではありません。攻撃は、サーバが再ネゴシ
エーションを起動する設定では依然として可能です。このような状況になるの
は以下の設定です (更新版のパッケージの chengelog の記載情報はいささか不
正確です)。</p>
<ul>
<li>"SSLVerifyClient" ディレクティブが Directory または Location コンテキストで用いられている場合。</li>
<li>"SSLCipherSuite" ディレクティブが Directory または Location コンテキストで用いられている場合。</li>
</ul>
<p>回避策として、SSLVerifyClient と SSLCipherSuite がサーバまたはヴァーチ
ャルホストレベルでのみ用いられるようにするよう設定を変更することも可能
です。</p>
<p>この問題の完全な修正にはプロトコル変更が必要です。この問題に関する情報
は別途出されるアナウンスに含まれる予定です。</p>
<p>更に、この更新には Apache の mod_proxy_ftp に関する以下の修正が含まれて
います。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3094">CVE-2009-3094</a>
<p>mod_proxy_ftp モジュールでの入力の検証が不十分なため、リ
モートの FTP サーバから EPSV コマンドに不正な返信を返すことで、サービス
拒否攻撃 (NULL ポインタ参照と子プロセスのクラッシュ) が可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3095">CVE-2009-3095</a>
<p>mod_proxy_ftp モジュールでの入力の検証が不十分なため、リ
モートの認証済みの攻撃者が意図されたアクセス制限を迂回して任意の FTP コ
マンドを FTP サーバに送出可能です。</p></li>
</ul>
<p>旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 2.2.3-4+etch11 で修正されています。</p>
<p>安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 2.2.9-10+lenny6 で修正されています。このバージョンには、次の安定
版のポイントリリース (Debian 5.0.4) での収録が予定されていた、セキュリ
ティ問題ではない修正が幾つか含まれています。</p>
<p>
テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 2.2.14-2 で修正予定です。</p>
<p>この勧告では、apache2 パッケージに対して再コンパイルされた更新済みの
apache2-mpm-itk パッケージも提供しています。</p>
<p>更新版の armel アーキテクチャ向け apache2-mpm-itk パッケージはまだ提
供されていません。準備できしだい提供の予定です。</p>
<p>直ぐに apache2 and apache2-mpm-itk パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1934.data"
# $Id$
|
