2004年05月28日

ApacheとかCVSとか

  • mod_ssl 2.8.17 以前に欠陥。 SSLOptions FakeBasicAuth を指定していた場合に、クライアント証明書の Subject-DN が 6KB を越えていると buffer overflow する欠陥がある。
ありゃりゃ

昨日やっとこ入れ替えたばっかりなのに、また入れ替えですか。
まぁ、ssl使ってないんで、別に更新しなくても良いですが、気持ち悪いので、さっくり入れ替えました。

そういえば、apacheの1.3.31は結構コードが変わっているようで、1.3.29までは当たっていたpatchがいくつも当たらなかったり、それまであったファイルが無くなっていたりとRPMを作成するのに少々苦労しました。
(余談ですが1.3.26のまんまだったマシンも今回1.3.31に上げたんですが、そっちはあちこち書き換えないと行けなくてものすごく苦労しました(笑))

あと

  • CVS 1.12.7 / 1.11.15 以前に欠陥。 CVS エントリ行中の modified および unchanged フラグの処理に欠陥があり、 heap overflow が発生。これを利用すると、remote から CVS サーバ動作権限で任意のコードを実行できる。攻撃を実行するには CVS サーバへのアクセス id / password が必要となるが、よく見かける、anonymous で read-only 公開している場合でも実行可能である。
なんて言うどでかい穴が見つかったので、こちらは待たずに速攻で入れ替えました。
まぁ、RPM作成も新しいソース落としてバージョン番号を書き換えただけで作成出来たので、大きな変更は無く簡単なバグ修正の模様です。

Posted by Takuchan at 2004年05月28日 18:09 | トラックバック(0)