Debians sikkerhedsbulletin

DSA-2202-1 apache2 -- mislykket bortkastelse af rootrettigheder

Rapporteret den:
23. mar 2011
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 618857.
I Mitres CVE-ordbog: CVE-2011-1176.
Yderligere oplysninger:

MPM_ITK er et alternativt Multi-Processing Module til Apache HTTPD, som er indeholdt i Debians apache2-pakke.

En konfigurationsfortolkningsfejl er fundet i MPM_ITK. Hvis konfigurationsdirektivet NiceValue var opsat, men intet AssignUserID-direktiv var angivet, ville forespørgsler blive behandlet som brugeren og gruppen root i stedet for Apaches standardbruger og -gruppe.

Problemet påvirker ikke standard-Apache HTTPD MPM's prefork, worker og event.

Den gamle stabile distribution (lenny) er ikke påvirket af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.16-6+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 2.2.17-2.

Hvis du bruger apache2-mpm-itk, anbefaler vi at du opgraderer dine apache2-pakker.