Рекомендация Debian по безопасности

DSA-2298-2 apache2 -- отказ в обслуживании

Дата сообщения:
05.09.2011
Затронутые пакеты:
apache2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2010-1452, CVE-2011-3192.
Более подробная информация:

В Apache, HTTPD веб-сервере, были обнаружены две проблемы:

  • CVE-2011-3192

    В способе обработки HTTPD-сервером Apache множественных перекрывающихся областей значений была обнаружена уязвимость. Эта уязвимость позволяет злоумышленнику вызывать ситуацию, в которой Apache HTTPD использует чрезмерный объём памяти, вызывая отказ в обслуживании.

  • CVE-2010-1452

    В mod_dav была обнаружена уязвимость, позволяющая злоумышленнику вызывать аварийную остановку службы, что приводит к отказу в обслуживании. Эта проблема касается только предыдущего стабильного выпуска, Debian 5.0 lenny.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 2.2.9-10+lenny11.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.2.16-6+squeeze3.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 2.2.19-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.2.19-3.

Рекомендуется обновить пакеты apache2.

Кроме того, данное обновление содержит обновлённые пакеты apache2-mpm-itk, которые были заново скомпилированы с поддержкой обновлённых пакетов apache2. Номер новой версии для предыдущего стабильного выпуска — 2.2.6-02-1+lenny6. В стабильном выпуске пакет apache2-mpm-itk имеет тот же номер версии, что и пакет apache2.