Red Hat JBoss Core Services Apache HTTP Server 2.4.37 Service Pack 10 リリースノート
Red Hat JBoss Core Services Apache HTTP Server 2.4.37 での使用
概要
はじめに
Red Hat JBoss Core Services バージョン 2.4.37 Service Pack 10 リリースへようこそ。
Red Hat JBoss Core Services の Apache HTTP Server は、Apache Software Foundation により開発されたオープンソースの Web サーバーです。Apache HTTP Server の機能は次のとおりです。
- HTTP/1.1 や HTTP/2 を含む現在の HTTP 規格を実装します。
- OpenSSL を使用した Transport Layer Security (TLS) 暗号化サポート。Web サーバーと Web クライアントとの間のセキュアな接続を提供します。
- モジュール拡張は、Red Hat JBoss Core Services の Apache HTTP Server に含まれるモジュールの一部です。
Red Hat Enterprise Linux 6 はサポートされなくなり、その後ドキュメントから削除されました。
Red Hat ドキュメントへのフィードバック (英語のみ)
弊社の技術的な内容についてのフィードバックに感謝します。ご意見をお聞かせください。コメントの追加、Insights の提供、誤字の修正、および質問を行う必要がある場合は、ドキュメントで直接行うこともできます。
Red Hat アカウントがあり、カスタマーポータルにログインしている必要があります。
カスタマーポータルからドキュメントのフィードバックを送信するには、以下の手順を実施します。
- Multi-page HTML 形式を選択します。
- ドキュメントの右上にある Feedback ボタンをクリックします。
- フィードバックを提供するテキストのセクションを強調表示します。
- ハイライトされたテキストの横にある Add Feedback ダイアログをクリックします。
- ページの右側のテキストボックスにフィードバックを入力し、送信 をクリックします。
フィードバックを送信すると、自動的に問題の追跡が作成されます。Submit をクリックすると表示されるリンクを開き、問題の監視を開始するか、さらにコメントを追加します。
貴重なフィードバックにご協力いただきありがとうございます。
第1章 Red Hat JBoss Core Services 2.4.37 のインストール
Apache HTTP Server 2.4.37 は、インストールガイドの以下のセクションのいずれかを使用してインストールできます。
Red Hat Enterprise Linux システムのインストール手順は、以下を参照してください。
- Microsoft Windows システムのインストール手順は、Microsoft Windows への JBoss Core Services Apache HTTP Server のインストール を参照してください。
第2章 Red Hat JBoss Core Services Apache HTTP Server 2.4.37 へのアップグレード
以前のバージョンの Red Hat JBoss Core Services Apache HTTP Server が .zip アーカイブからインストールされている場合は、Apache HTTP Server 2.4.37 にアップグレードする必要があります。
- Apache HTTP Server 2.4.37 のインストール
- Apache HTTP Server 2.4.37 の設定
- 以前のバージョンの Apache HTTP Server の削除
要件
- 管理者アクセス (Windows Server)
- .zip アーカイブから Red Hat JBoss Core Services の Apache HTTP Server 2.4.29 以前がインストールされている。
手順
Red Hat JBoss Core Services の Apache HTTP Server 2.4.29 を使用するシステムでは、Apache HTTP Server 2.4.37 へのアップグレードに推奨される手順は次のとおりです。
- Red Hat JBoss Core Services Apache HTTP Server 2.4.29 の実行中のインスタンスをすべてシャットダウンします。
- Red Hat JBoss Core Services の Apache HTTP Server 2.4.29 インストールおよび設定ファイルをバックアップします。
- 現在のシステムの .zip インストール方法を使用して、Red Hat JBoss Core Services の Apache HTTP Server 2.4.37 をインストールします (以下の 追加リソース を参照)。
Red Hat JBoss Core Services の Apache HTTP Server バージョン 2.4.29 からバージョン 2.4.37 に設定を移行します。
注記Apache HTTP Server の設定ファイルは、Apache HTTP Server 2.4.29 リリース以降変更される可能性があります。2.4.37 バージョン設定ファイルは、別のバージョン (Apache HTTP Server 2.4.29 など) の設定ファイルで上書きするのではなく、更新することが推奨されます。
- Red Hat JBoss Core Services Apache HTTP Server 2.4.29 ルートディレクトリーを削除します。
関連情報
第3章 セキュリティーの修正
この更新には、以下のセキュリティー修正が含まれています。
| ID | 影響 | 概要 |
|---|---|---|
| 重要な影響 | httpd: パストラバーサルおよびファイル開示の脆弱性 [jbcs-httpd-2.4] | |
| 重要な影響 | httpd: mod_proxy: SSRF via a crafted request uri-path containing "unix:" [jbcs-httpd-2.4] | |
| 中程度 | OpenSSL: ASN.1 文字列処理を行う際の読み取りのバッファーオーバーラン [jbcs-httpd-2.4] | |
| 中程度 | mod_proxy: Red Hat JBCS: URL の正規化問題 (ドット、ドット、セミコロン) が情報開示につながる [jbcs-httpd-2.4] | |
| 中程度 | curl: 不適切なパス名チェックが原因で不正な接続が再利用される [jbcs-httpd-2.4] | |
| 中程度 | curl: Metalink でハッシュと一致しないコンテンツが破棄される [jbcs-httpd-2.4] | |
| 中程度 | curl: Metalink ダウンロードが認証情報を送信する [jbcs-httpd-2.4] | |
| 中程度 | httpd: 'MergeSlashes OFF' と予期せず URL が照合される [jbcs-httpd-2.4] | |
| 中程度 | httpd: アップグレードされていない接続の mod_proxy_wstunnel トンネリング [jbcs-httpd-2.4] | |
| 中程度 | httpd: mod_session: 細工された SessionHeader 値を使用したヒープオーバーフロー [jbcs-httpd-2.4] | |
| 中程度 | httpd: mod_session: Cookie ヘッダーの解析時に NULL ポインターを逆参照 [jbcs-httpd-2.4] | |
| 中程度 | openssl: CipherUpdate での整数オーバーフロー [jbcs-httpd-2.4] | |
| 中程度 | openssl: X509_issuer_and_serial_hash() での NULL ポインター逆参照 [jbcs-httpd-2.4] | |
| 低 | pcre: callout の数値の引数を解析する時の整数オーバーフロー [jbcs-httpd-2.4] | |
| 低 | pcre: UTF が無効で \X または \R の固定修飾子が 1 より大きい場合に JIT でバッファーがオーバーリードする [jbcs-httpd-2.4] | |
| 低 | curl: CVE-2021-22898 の誤った修正: TELNET スタックコンテンツ開示 [jbcs-httpd-2.4] | |
| 低 | httpd: mod_proxy NULL ポインター逆参照 [jbcs-httpd-2.4] | |
| 低 | httpd: mod_auth_digest での単一ゼロスタックオーバーフロー [jbcs-httpd-2.4] |
第4章 解決した問題
以下は、本リリースで解決された問題です。
| 問題 | 概要 |
|---|---|
| JBCS-1225 | CVE-2021-41773 の修正を追加 |
| JBCS-1186 | [GSS] ap_increment_counts の修正のセグメント化 |
| JBCS-1177 | Curl から 7.78.0 へのリベース |
| JBCS-1152 | 文字列トークン化を行う時のセグメンテーション違反 |
| JBCS-1149 | ベースの仮想ホストでの SSLProtocol |
| JBCS-1147 | mod_proxy_http が原因でファイルシステムが /tmp/modproxy.tmp.* ファイルでいっぱいになる |
| JBCS-1074 | prunsrv は想定通りタイムアウトするのではなく、停止する |
| JBCS-985 | Apache Commons Daemon MyWorkItem(Windows 用) をバージョン 1.2.4 にアップグレード |
| JBCS-957 | エラーで JBoss Service.bat stop が失敗する |
第5章 既知の問題
本リリースには既知の問題がありません。
第6章 アップグレードされたコンポーネント
本リリースには、以下のパッケージのアップグレードが含まれます。
| コンポーネント | バージョン | オペレーティングシステム |
|---|---|---|
| apache-commons-daemon-jsvc | 1.2.4 | Microsoft Windows |
| curl | 7.78.0 | Microsoft Windows |
Red Hat JBoss Core Services の今回のリリースでサポートされるコンポーネントの完全リストは、Core Services Apache HTTP Server Component Details ページを参照してください。Component Details ページにアクセスする前に、有効な Red Hat サブスクリプションがあり、Red Hat カスタマーポータルにログインしていることを確認する必要があります。
