Рекомендация Debian по безопасности

DLA-71-1 apache2 -- обновление безопасности LTS

Дата сообщения:
16.10.2014
Затронутые пакеты:
apache2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-5704, CVE-2014-3581.
Более подробная информация:

Данное обновление исправляет две проблемы безопасности в apache2.

  • CVE-2013-5704

    Отключение возможности замены заголовков HTTP на концевые метки HTTP, поскольку это может использоваться для обхода операций над заголовками, осуществлённых другими модулями. Это поведение можно восстановить с помощью новой директивы MergeTrailers.

  • CVE-2014-3581

    Исправление отказа в обслуживании, при котором Apache может завершиться с ошибкой сегментирования, если используется mod_cache, и если кешированный запрос содержит пустой заголовок Content-Type.

В Debian 6 Squeeze эти проблемы были исправлены в пакете apache2 версии 2.2.16-6+squeeze14