mod_ssl

buffer overflowにより任意のコマンドが実行されてしまう

リリース日付 : 2002-03-15

対象パッケージ : mod_ssl-2.8.7-3

問題点
apache+mod_sslの環境においてサーバから証明書が発行される際、悪意のあるユーザーがその証明書に対しての偽りのデータを返信し、サーバー上で任意のコマンドが実行されてしまう可能性があります。

対策
以下のコマンドを実行し、バージョンをご確認ください。
mod_ssl-2.8.7-3より前のバージョンをご使用の場合はアップデートを行ってください。

# rpm -qa | grep mod_ssl

この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。説明文中の "\"記号は、改行せずに続けて指定することを表しています。

実行例
---------------------------------------------------------------------

# rpm -Fvh package-1.0.0-1.i586.rpm \
package-doc-1.0.0-1.i586.rpm \
package-devel-1.0.0-1.i586.rpm

rpmコマンドを実行する際には、コマンドラインで次のように指定してください。

# rpm -Fvh package-1.0.0-1.i586.rpm package-doc-1.0.0-1.i586.rpm package-devel-1.0.0-1.i586.rpm
---------------------------------------------------------------------

<Turbolinux 7 Server>
<Turbolinux 7 Workstation>

# rpm -Fvh mod_ssl-2.8.7-3.i586.rpm \
apache-1.3.23-3.i586.rpm \
apache-devel-1.3.23-3.i586.rpm \
apache-manual-1.3.23-3.i586.rpm

<Turbolinux Server 6.5>
<Turbolinux Advanced Server 6>

# rpm -Fvh mod_ssl-2.8.7-3.i386.rpm \
apache-1.3.23-3.i386.rpm \
apache-devel-1.3.23-3.i386.rpm \
apache-manual-1.3.23-3.i386.rpm \
openssl-0.9.6b-1.i386.rpm \
openssl-devel-0.9.6b-1.i386.rpm

<Turbolinux Server 6.1>
<Turbolinux Workstation 6.0>

# rpm -Uvh rpm-3.0.6-15.i386.rpm \
popt-1.5-15.i386.rpm
# rpm -Fvh apache-1.3.23-3.i386.rpm \
apache-devel-1.3.23-3.i386.rpm \
apache-manual-1.3.23-3.i386.rpm \
openssl-0.9.6b-1.i386.rpm \
openssl-devel-0.9.6b-1.i386.rpm
# rpm -ivh mod_ssl-2.8.7-3.i386.rpm

*注意 OpenSSL を使用して Secure Web Server(https) を利用している場合、mod_ssl パッケージも同時にアップデートを行う必要があります。

なお、TurboLinux Server 日本語版 6.1 収録の RSA SSL を使用して Secure Web Server を構築している環境では mod_ssl パッケージのアップデートを行わないでください。

Package Update Path