Debians sikkerhedsbulletin

DSA-2579-1 apache2 -- flere problemer

Rapporteret den:
30. nov 2012
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 689936.
I Mitres CVE-ordbog: CVE-2012-4557, CVE-2012-4929.
Yderligere oplysninger:

En sårbarhed er fundet i Apache HTTPD Server:

  • CVE-2012-4557

    En fejl blev fundet i sammenhæng med når mod_proxy_ajp forbindser sig til en backendserver, der er for lang tid om at svare. Med en specifik opsætning kunne en fjernangriber sende visse forespørgsler, og dermed få backendserveren i en fejltilstand indtil retrytimeout'en udløb. Det kunne medføre et midlertidigt lammelsesangreb.

Desuden indeholder denne opdatering også rettelse på serversiden af følgende problem:

  • CVE-2012-4929

    Hvis man anvender SSL-/TLS-datakomprimering med HTTPS i en forbindelse til en webbrowser, kunne manden i midten-angribere måske få adgang til HTTP-headere i klartekst. Problemet er kendt som CRIME-angrebet. Denne opdatering af apache2 deaktiverer som standard SSL-komprimering. En ny SSLCompression-kommando er blevet tilbageført og kan anvendes til at genaktivere SSL-datakomprimering i miljøer, hvor CRIME-angrebet ikke udgør en risiko. For flere oplysninger, se dokumentationen af SSLCompression Directive.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.2.16-6+squeeze10.

I distributionen testing (wheezy), er disse problemer rettet i version 2.2.22-12.

I den ustabile distribution (sid), er disse problemer rettet i version 2.2.22-12.

Vi anbefaler at du opgraderer dine apache2-pakker.