mod_ssl 2.8.17 以前に欠陥。 SSLOptions FakeBasicAuth を指定していた場合に、クライアント証明書の Subject-DN が 6KB を越えていると buffer overflow する欠陥がある。
昨日やっとこ入れ替えたばっかりなのに、また入れ替えですか。
まぁ、ssl使ってないんで、別に更新しなくても良いですが、気持ち悪いので、さっくり入れ替えました。
そういえば、apacheの1.3.31は結構コードが変わっているようで、1.3.29までは当たっていたpatchがいくつも当たらなかったり、それまであったファイルが無くなっていたりとRPMを作成するのに少々苦労しました。
(余談ですが1.3.26のまんまだったマシンも今回1.3.31に上げたんですが、そっちはあちこち書き換えないと行けなくてものすごく苦労しました(笑))
あと
CVS 1.12.7 / 1.11.15 以前に欠陥。 CVS エントリ行中の modified および unchanged フラグの処理に欠陥があり、 heap overflow が発生。これを利用すると、remote から CVS サーバ動作権限で任意のコードを実行できる。攻撃を実行するには CVS サーバへのアクセス id / password が必要となるが、よく見かける、anonymous で read-only 公開している場合でも実行可能である。