blob: e10a83f9fb85e219f0719dd6145ab39b9e405163 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
|
#use wml::debian::translation-check translation="7afafa2d17073754ef6731f3f0f580e520dc0d56"
<define-tag description>安全でない標準の設定</define-tag>
<define-tag moreinfo>
<p>
Niels Heinen さんにより、mod_php や mod_rivet
などのスクリプティングモジュールがインストールされている場合の
Debian での標準の Apache の設定にセキュリティ上の問題が発見されました。
この問題は、URL /doc にマップされる /usr/share/doc
ディレクトリにサンプルスクリプトが置かれる場合があり、URL
を要求することによりそのスクリプトが実行可能であるためです。URL /doc
に対するアクセスは localhost
からの接続のみに制限されてはいますが、それでも以下の
2 つの場合にこれがセキュリティ問題になることが判明しています。
</p>
<ul>
<li>
もしフロントエンドサーバが同じホストにあり、localhost アドレスの
Apache2 バックエンドサーバにコネクションを転送している場合。
</li>
<li>
apache2 を実行しているマシンがウェブブラウズに使われている場合。
</li>
</ul>
<p>
この 2 つの何れの条件にも当てはまらないシステムでは脆弱性は知られていません。
実際のシステムのセキュリティは、システムにインストールされているパッケージ
(対応するサンプルスクリプトの内容)
によります。可能性のある問題としては、クロスサイトスクリプティング攻撃や、
任意のコードの実行、機密情報の漏洩などの可能性があります。
</p>
<p>
この更新では、問題となる設定のセクションを /etc/apache2/sites-available/default
および .../default-ssl から削除しています。但し、更新時に盲目的にこれらのファイルを
dpkg に置き換えさせるべきではなく、変更をマージするようにしてください。特に、
'Alias /doc "/usr/share/doc"' の削除の部分と、それに関連する
<q><Directory "/usr/share/doc/"></q>
の部分を自分の設定ファイルに反映するようにしてください。
また、仮想ホスト設定にこれらのセクションの変更がコピーされたかをよく確認してください。
</p>
<p>
安定版 (stable) ディストリビューション (squeeze)
では、この問題はバージョン 2.2.16-6+squeeze7 で修正されています。
</p>
<p>
テスト版 (testing) ディストリビューション (wheezy)
では、この問題はバージョン 2.2.22-4 で修正されています。
</p>
<p>
不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 2.2.22-4 で修正されています。
</p>
<p>
実験版 (experimental)
ディストリビューションでは、この問題はバージョン 2.4.1-3 で修正されています。
</p>
<p>
直ぐに apache2
パッケージをアップグレードし、設定を修正することを勧めます。
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2452.data"
# $Id$
|
