-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2017-7
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2017/10/05
 最終更新日   : 2017/10/05

 パッケージ名 : httpd
 
 タイトル : メモリから情報漏えいする脆弱性
 
 概要 : Apache は最も有名で、高性能な Web サーバです。
 
       httpd の Options メソッド処理の不具合で、.htaccess ファイルで
       Limit ディレクティブが使用できる場合、第三者がプロセスメモリから
       データを読み取られて、情報が漏えいする脆弱性が存在します。
 
 影響 : 第三者がこの脆弱性を利用し、プロセスメモリからデータを読み取られ
        情報が漏えいする可能性があります(Optionsbleed: CVE-2017-9798)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u httpd httpd-devel httpd-manual mod_ssl
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   httpd-2.2.6-38.src.rpm
      4837062 1431533acda9b5de6aa31076bed3141c

   Binary Packages
   Size: MD5

   httpd-2.2.6-38.x86_64.rpm
      1041642 eb5962787357d39fb47dff66a8b2168d
   httpd-devel-2.2.6-38.x86_64.rpm
       156289 5158d79af5434604c007119e98f80715
   httpd-manual-2.2.6-38.x86_64.rpm
       860729 74e770c8b6ce3f33cf916bee02045cd8
   httpd-rootsrv-2.2.6-38.x86_64.rpm
       234179 afd7aa655e50ab062b78f34230a78cc2
   mod_ssl-2.2.6-38.x86_64.rpm
        93077 e9b30c5e29e2f496971e656f7c7084c8

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   httpd-2.2.6-38.src.rpm
      4837062 1431533acda9b5de6aa31076bed3141c

   Binary Packages
   Size: MD5

   httpd-2.2.6-38.i686.rpm
       982692 57144fa4df8d987595840591b812e3de
   httpd-devel-2.2.6-38.i686.rpm
       156178 3327b35fb4daf5e6aae42e4b94278cac
   httpd-manual-2.2.6-38.i686.rpm
       860880 6b918761ef046665d8e720d56de26cc7
   httpd-rootsrv-2.2.6-38.i686.rpm
       222445 31dba87135a7013a1ddd48f632deec83
   mod_ssl-2.2.6-38.i686.rpm
        88065 42c9cf3168f63f82f5012d23e8c9935d

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/httpd-2.2.6-38.src.rpm
      4837062 a831ff1597fdd8254d5032f67bc1bd3e

   Binary Packages
   Size: MD5

   httpd-2.2.6-38.x86_64.rpm
      1041642 225114e4769e493d58d7181bf102c3b6
   httpd-devel-2.2.6-38.x86_64.rpm
       156289 7231fdbc0511c28c0d0229ae6e280035
   httpd-manual-2.2.6-38.x86_64.rpm
       860729 206b44d4d6872add2eda8bf27b30354d
   mod_ssl-2.2.6-38.x86_64.rpm
        93077 1d501ad4d2413e7cb0f53b7c460e4021

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/httpd-2.2.6-38.src.rpm
      4837062 a431f8dc8b6bdf4ef1a673a5d126ee51

   Binary Packages
   Size: MD5

   httpd-2.2.6-38.i686.rpm
       982692 1aa1f48c8217af9515c4e88b449f7376
   httpd-devel-2.2.6-38.i686.rpm
       156178 4be1417e074469f24f80a155a45bfabb
   httpd-manual-2.2.6-38.i686.rpm
       860880 470a0022ca3a58f6510901658b5a07b7
   mod_ssl-2.2.6-38.i686.rpm
        88065 437392e55219f4dcc2266d17d8f8c81e


 関連文章 :

 CVE
   [CVE-2017-9798]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798

 --------------------------------------------------------------------------
 更新履歴
   初版   2017/10/05
 --------------------------------------------------------------------------

 Copyright(C) 2017 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlnVnccACgkQK0LzjOqIJMxbfgCgnem+CucDxtSCpIFb2pkOzwpU
8Y4An1jorl0oQGKlV/oLE1IvW73011VW
=Tq4p
-----END PGP SIGNATURE-----