Debians sikkerhedsbulletin

DSA-2298-2 apache2 -- lammelsesangreb

Rapporteret den:
5. sep 2011
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-1452, CVE-2011-3192.
Yderligere oplysninger:

To problemer blev fundet i Apache HTTPD-webserveren:

  • CVE-2011-3192

    En sårbarhed blev fundet i den måde, som flere overlappende ranges blev håndteret af Apache HTTPD-serveren. Sårbarheden gjorde det muligt for en angriber at få Apache HTTPD til at bruge store mængder hukommelse, hvilket medførte et lammelsesangreb (denial of service).

  • CVE-2010-1452

    En sårbarhed blev fundet i mod_dav, som gjorde det muligt for en angriber at få dæmonen til at gå ned, hvilket forårsagede et lammelsesangreb. Problemet påvirker kun distributionen Debian 5.0 oldstable/lenny.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 2.2.9-10+lenny11.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.16-6+squeeze3.

I distributionen testing (wheezy), er dette problem rettet i version 2.2.19-3.

I den ustabile distribution (sid), er dette problem rettet i version 2.2.19-3.

Vi anbefaler at du opgraderer dine apache2-pakker.

Opdateringen indeholder også opdaterede apache2-mpm-itk-pakker, som er blevet genkompileret mod de opdaterede apache2-pakker. Det nye versionsnummer i den gamle stabile distribution er 2.2.6-02-1+lenny6. I den stabile distribution, har apache2-mpm-itk det samme versionsnummer som apache2.