httpd-2.4.9がリリースされた。
http://ミラーサーバ/pub/network/apache/httpd/
http://ミラーサーバ/pub/network/apache/httpd/CHANGES_2.4.9
CHANGESを見ると脆弱性が2件修正されている。
CVE-2014-0098
cookieをログ出力する処理にあった冗長な文字列解析を整理した。
値を有するcookieのみをログ出力するようにした。これにより、これにより切り詰められたcookieをログ出力するときに、segfaultするのを防いだ
CVE-2013-6438
mod_dav: 先行するスペースを削除するような場合にも、cdataの長さを正しく維持するようにした。
特別に細工したDAV WRITEリクエストを使って、DoS状態にすることかできる可能性があった。
いずれも、コードとしては、2.2.26にもあるようだ。
...2.2.27のCHANGESにも書かれていた。
...2.2.27のCHANGESにも書かれていた。
0 件のコメント:
コメントを投稿