Scientific Linux 安全更新：SL4.x i386/x86_64 中的 httpd

medium Nessus 插件 ID 60753

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

CVE-2010-0434 httpd：请求标头信息泄漏

已在 Apache HTTP Server 处理子请求中的请求标头的方式中发现一个释放后使用缺陷。在使用了子请求的配置中，多线程 MPM（多重处理模块）可能会在请求回复中泄漏来自其他请求的信息。(CVE-2010-0434)

此更新还修复以下缺陷：

- 已在 mod_dav 模块中发现一个缺陷。如果针对现有文件的 PUT 请求失败，会意外地删除该文件并记录“Could not get next bucket brigade”错误。通过此更新，失败的 PUT 请求不再导致 mod_dav 删除文件，从而解决了此问题。(BZ#572932)

此外，此更新还添加以下增强：

- 安装来自 RHSA-2010:0163 的更新后的 openssl 程序包后，mod_ssl 将拒绝与不支持 RFC 5746 的未修复客户端重新协商 TLS/SSL 连接。此更新添加了“SSLInsecureRenegotiation”配置指令。如果启用本指令，则 mod_ssl 将与未修复的客户端进行不安全的重新协商。(BZ#575805)

请参阅以下 Red Hat 知识库文章以了解关于更改的 mod_ssl 行为的更多详细信息：http://kbase.redhat.com/faq/docs/DOC-20491

安装更新后的程序包后，必须重新启动 httpd 后台程序才能使更新生效。