Säkerhetsbulletin från Debian

DSA-2298-2 apache2 -- överbelastning

Rapporterat den:
2011-09-05
Berörda paket:
apache2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2010-1452, CVE-2011-3192.
Ytterligare information:

Två problem har upptäckts i webbservern Apache HTTPD:

  • CVE-2011-3192

    En sårbarhet har upptäckts i sättet som flera överlappande räckvidder hanteras av Apache HTTPD-servern. Denna sårbarhet tillåter en angripare att orsaka Apache HTTPD att använda överdriven mängd minne, vilket orsakar överbelastning.

  • CVE-2010-1452

    En sårbarhet har upptäckts i mod_dav som tillåter en angripare att orsaka en demonkrasch, vilket orsakar överbelastning. Detta problem påverkar endast gamla stabila utgåvan Debian 5.0 / Lenny.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 2.2.9-10+lenny11.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.2.16-6+squeeze3.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2.2.19-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.2.19-3.

Vi rekommenderar att ni uppgraderar era apache2-paket.

Denna uppdatering innehåller även uppdaterade apache2-mpm-itk-paket som har kompilerats om mot de uppdaterade apache2-paketen. Det nya versionsnumret för den gamla stabila utgåvan är 2.2.6-02-1+lenny6. I den stabila utgåvan har apache2-mpm-itk samma versionsnummer som apache2.