Debians sikkerhedsbulletin
DSA-2579-1 apache2 -- flere problemer
- Rapporteret den:
- 30. nov 2012
- Berørte pakker:
- apache2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 689936.
I Mitres CVE-ordbog: CVE-2012-4557, CVE-2012-4929. - Yderligere oplysninger:
-
En sårbarhed er fundet i Apache HTTPD Server:
- CVE-2012-4557
En fejl blev fundet i sammenhæng med når mod_proxy_ajp forbindser sig til en backendserver, der er for lang tid om at svare. Med en specifik opsætning kunne en fjernangriber sende visse forespørgsler, og dermed få backendserveren i en fejltilstand indtil retrytimeout'en udløb. Det kunne medføre et midlertidigt lammelsesangreb.
Desuden indeholder denne opdatering også rettelse på serversiden af følgende problem:
- CVE-2012-4929
Hvis man anvender SSL-/TLS-datakomprimering med HTTPS i en forbindelse til en webbrowser, kunne manden i midten-angribere måske få adgang til HTTP-headere i klartekst. Problemet er kendt som
CRIME
-angrebet. Denne opdatering af apache2 deaktiverer som standard SSL-komprimering. En ny SSLCompression-kommando er blevet tilbageført og kan anvendes til at genaktivere SSL-datakomprimering i miljøer, hvorCRIME
-angrebet ikke udgør en risiko. For flere oplysninger, se dokumentationen af SSLCompression Directive.
I den stabile distribution (squeeze), er disse problemer rettet i version 2.2.16-6+squeeze10.
I distributionen testing (wheezy), er disse problemer rettet i version 2.2.22-12.
I den ustabile distribution (sid), er disse problemer rettet i version 2.2.22-12.
Vi anbefaler at du opgraderer dine apache2-pakker.
- CVE-2012-4557