Debians sikkerhedsbulletin

DSA-3796-1 apache2 -- sikkerhedsopdatering

Rapporteret den:
26. feb 2017
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Apache2 HTTP-serveren.

  • CVE-2016-0736

    RedTeam Pentesting GmbH opdagede at mod_session_crypto var sårbar over for padding oracle-angreb, hvilke kunne gøre det muligt for en angriber at gætte sessioncookien.

  • CVE-2016-2161

    Maksim Malyutin opdagede at ondsindet inddata til mod_auth_digest kunne medføre at serveren gik ned, førende til et lammelsesangreb (denial of service).

  • CVE-2016-8743

    David Dennerline fra IBM Security's X-Force Researchers, og Régis Leroy, opdagede problemer i den måde Apache håndterede et bredt mønster af usædvanlige whitespacemønstre i HTTP-forespørgsler. I nogle opsætninger kunne det føre til sårbarheder i forbindelse med opsplitning af svar eller cacheforurening. For at rette problemerne, gør opdateringen Apache httpd mere striks i forhold til hvilke HTTP-forespørgsler, der accepteres.

    Hvis det giver problemer med ikke-tilpassede klienter, kan nogle kontroller slækkes ved at tilføje det nye direktiv HttpProtocolOptions unsafe til opsætningen.

Opdateringen retter også problemet, hvor mod_reqtimeout ikke var aktiveret som standard på nye installationer.

I den stabile distribution (jessie), er disse problemer rettet i version 2.4.10-10+deb8u8.

I distributionen testing (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 2.4.25-1.

Vi anbefaler at du opgraderer dine apache2-pakker.