Bulletin d'alerte Debian

DLA-71-1 apache2 -- Mise à jour de sécurité pour LTS

Date du rapport :
16 octobre 2014
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-5704, CVE-2014-3581.
Plus de précisions :

Cette mise à jour corrige deux problèmes de sécurité avec apache2.

  • CVE-2013-5704

    Désactivation de la possibilité de remplacer les en-têtes HTTP par les pieds de page HTTP, car cela pourrait être utilisé pour contourner des opérations d’en-tête précédentes réalisées par d’autres modules. Cela peut être réactivé avec une nouvelle directive MergeTrailers.

  • CVE-2014-3581

    Correction d’un déni de service où une erreur de segmentation peut survenir dans Apache lorsque mod_cache est utilisé et la requête mise en cache contient un en-tête Content-Type vide.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans apache2, version 2.2.16-6+squeeze14.p>