セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2202-1 apache2

Debian セキュリティ勧告

DSA-2202-1 apache2 -- ルート特権を落とす処理抜け

報告日時:

2011-03-23

影響を受けるパッケージ:

apache2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 618857.
Mitre の CVE 辞書: CVE-2011-1176.

詳細:

MPM_ITK は、Apache HTTPD の代替マルチプロセス向けモジュールであり、 Debian の Apache2 パッケージに収録されています。

設定ファイル処理の欠陥が、MPM_ITK に発見されました。設定ディレクティ ブ NiceValue が設定されており、AssignUserID ディレクティブが指定され ていない場合、リクエストが Apache 標準のユーザとグループではなく、 root ユーザ及びグループで実行されてしまいます。

この問題は、通常の Apache HTTPD MPM プリフォーク、ワーカ、イベント処 理には影響しません。

旧安定版 (lenny) にはこの問題の影響はありません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.2.16-6+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 2.2.17-2 で修正されています。

apache2-mpm-itk を用いている場合、Apache2 パッケージを更新することを 薦めます。