futuremix

1ヶ月ほどまえに mod_ssl にセキュリティホールが見つかっています。

mod_ssl 2.8.17 以前に欠陥。 SSLOptions + FakeBasicAuth を指定していた場合に、クライアント証明書の Subject-DN が 6KB を越えていると buffer overflow する欠陥がある。元ネタ: [Full-Disclosure] mod_ssl ssl_util_uuencode_binary potential problem。 CVE: CAN-2004-0488

mod_ssl 2.8.18 で修正されている。また Apache 2.x にも同様の問題があり、 modules/ssl/ssl_engine_kernel.c 1.106 で修正されているそうだ。 patch

ということで、Fedora Legacy からアップデートがリリースされるのを待っていたのですが、なかなか出ないので、業を煮やして独自にパッチを適用した RPM を作成しました。とはいっても、以前から公開している Digest 認証の IE6 対応 + i686 最適化バージョンにパッチを取り込んだだけのものです。

なお、Apache には複数のプラットフォームでコネクション関連で DoS が発生する不具合 (CAN-2004-0174) も報告されていますが、こちらは Linux には関係ないと言うことなのでパッチは取り込んでいません。

それにしても、Fedora Legacy Project の Red Hat 9 対応は機能しているのでしょうか。いまだに CVS のアップデートしか公開されていないのですが。Red Hat Linux 9 はなかなか完成度が高いリリースなので、使い続けたいという人も多い思います。協力できる人はぜひ Fedora Legacy に協力してあげてください。などと書いてみます（まるで他人事のような発言ですが）。

• ダウンロード