futuremix

この記事は古い内容ですのでご注意下さい。

Apache 2.0 の 2.0.54 以前に、細工した HTTP ヘッダを用いて、DoS 攻撃を引き起こす欠陥 (CVE-2005-2728
) が発見されています。

また、mod_ssl の 2.8.24 以前の SSLVerifyClient ディレクティブに欠陥も発見されています。(CVE-2005-2700
) この欠陥は、仮想ホストが SSLVerifyClient optional として設定され、さらに SSLVerifyClient required が特定のロケーション用に設定されている場合に発生に、攻撃者がクライアント証明書なしにアクセス制限を回避できる可能性があるというものです。

これらへの対策はパッチを取り込んだ Red Hat 9 向けの RPM が Fedora Legacy Project からリリースされています。ほかにも Red Hat 7.3、Fedora Core 1、2 向けのパッケージもリリースされています。

例によって rpm.fumika.jp にて公開している Apache の RPM を、新しいパッケージをベースにビルドし直しました。バージョンは 2.0.40-21.20.1 です。IE6 の Digest 認証エラー対応パッチを適用し、i686 向けに最適化したものです。ご入り用の方は（自己責任で）どうぞ。