Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2202-1 apache2

Debians sikkerhedsbulletin

DSA-2202-1 apache2 -- mislykket bortkastelse af rootrettigheder

Rapporteret den:

23. mar 2011

Berørte pakker:

apache2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 618857.
I Mitres CVE-ordbog: CVE-2011-1176.

Yderligere oplysninger:

MPM_ITK er et alternativt Multi-Processing Module til Apache HTTPD, som er indeholdt i Debians apache2-pakke.

En konfigurationsfortolkningsfejl er fundet i MPM_ITK. Hvis konfigurationsdirektivet NiceValue var opsat, men intet AssignUserID-direktiv var angivet, ville forespørgsler blive behandlet som brugeren og gruppen root i stedet for Apaches standardbruger og -gruppe.

Problemet påvirker ikke standard-Apache HTTPD MPM's prefork, worker og event.

Den gamle stabile distribution (lenny) er ikke påvirket af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.16-6+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 2.2.17-2.

Hvis du bruger apache2-mpm-itk, anbefaler vi at du opgraderer dine apache2-pakker.