Рекомендация Debian по безопасности

DSA-2237-1 apr -- отказ в обслуживании

Дата сообщения:
15.05.2011
Затронутые пакеты:
apr
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-0419.
Более подробная информация:

В библиотеке APR была обнаружена уязвимость, которая может использоваться через модуль mod_autoindex для Apache HTTPD. Если каталог, индексируемый mod_autoindex, содержит файлы с достаточно длинными именами, то удалённый злоумышленник может отправить специально сформированный запрос, обработка которого приведёт к чрезмерному потреблению ресурсов ЦП. Это может использоваться для вызова отказа в обслуживании.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.2.12-5+lenny3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.4.2-6+squeeze1.

В тестируемом выпуске (wheezy) эта проблема будет исправлена в версии 1.4.4-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.4.4-1.

Рекомендуется обновить пакеты apr и перезапустить сервер apache2.