Scientific Linux 安全更新：SL6.x i386/x86_64 中的 httpd

medium Nessus 插件 ID 61161

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

Apache HTTP Server 是一款流行的 Web 服务器。

发现 Apache HTTP Server 未正确验证代理请求的请求 URI。在特定配置中，如果反向代理使用 ProxyPassMatch 指令，或如果它使用带代理标记的 RewriteRule 指令，则远程攻击者可使代理连接到任意服务器，从而可能泄露那些攻击者无法直接访问的内部 Web 服务器的敏感信息。(CVE-2011-3368)

已发现 mod_proxy_ajp 在处理特定的畸形 HTTP 请求时未正确返回“内部服务器错误”响应，这导致在将 mod_proxy 用于负载均衡器模式的配置中，后端服务器被标记为已失败。远程攻击者可造成 mod_proxy 在重试超时期间内或所有后端服务器都被标记为已失败之前，不向后端 AJP (Apache JServ Protocol) 服务器发送请求。(CVE-2011-3348)

此更新还修复以下缺陷：

- 之前的更新针对 CVE-2011-3192 提供的补丁在 httpd 处理某些 Range HTTP 标头值的方式中引入了回归。此更新修正了这些回归。

所有 httpd 用户都应升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。安装更新后的程序包后，必须重新启动 httpd 后台程序才能使更新生效。