Säkerhetsbulletin från Debian

DSA-3325-1 apache2 -- säkerhetsuppdatering

Rapporterat den:
2015-08-01
Berörda paket:
apache2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3183, CVE-2015-3185.
Ytterligare information:

Flera sårbarheter har upptäckts i HTTPD-servern Apache.

  • CVE-2015-3183

    Ett HTTP-förfrågesmugglingsangrepp var möjligt tack var ett fel i tolkning av segmentförfrågningar. En illasinnad klient kunde tvinga servern att feltolka förfrågelängden, vilket tillåter cache-förgiftning eller referenskapning om en mellanhandsproxy används.

  • CVE-2015-3185

    Ett designfel i funktionen ap_some_auth_required renderar APIet oanvändbart i apache2 2.4.x. Detta kunde leda till att moduler som använder detta API tillåter åtkomst när dom inte bör göra så. Rättningen bakåtanpassar det nya ap_some_authn_required-APIet från 2.4.16. Detta problem påverkar inte den gamla stabila utgåvan (Wheezy).

Utöver detta tar det uppdaterade paketet för den gamla stabila utgåvan (Wheezy) bort en begränsning i Diffie-Hellman (DH)-parametrar till 1024 bitar. Denna begränsning kan potentiellt tillåta en angripare med väldigt stora beräkningsresurser, som en nationsstat, att förstöra DH-nyckelutbyte genom förberäkning. Det uppdaterade apache2-paketet tillåter även att konfigurera anpassade DH-parametrar. Mer information finns i changelog.Debian.gz. Dessa förbättringar fanns redan i den stabila, uttestningsutgåvan, och den instabila utgåvan.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2.2.22-13+deb7u5.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.4.10-10+deb8u1.

För uttestningsutgåvan (Stretch) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era apache2-paket.