Bulletin d'alerte Debian

DSA-3796-1 apache2 -- Mise à jour de sécurité

Date du rapport :
26 février 2017
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache2.

  • CVE-2016-0736

    RedTeam Pentesting GmbH a découvert que mod_session_crypto était vulnérable à des attaques d'oracle par remplissage qui pourraient permettre à un attaquant de deviner le cookie de session.

  • CVE-2016-2161

    Maksim Malyutin a découvert que des entrées malveillantes pour mod_auth_digest pourraient faire planter le serveur, provoquant un déni de service.

  • CVE-2016-8743

    David Dennerline, des X-Force Researchers de sécurité d'IBM, et Régis Leroy ont découvert des problèmes dans la manière dont Apache gérait un motif large de motifs d'espace inhabituels dans des requêtes HTTP. Dans certaines configurations, cela pourrait conduire à des vulnérabilités de découpage de réponse ou de pollution de cache. Pour corriger ces problèmes, cette mise à jour rend Apache httpd plus strict dans le choix des requêtes HTTP qu'il accepte.

    Si cela provoque des problèmes avec des clients non conformes, certaines vérifications peuvent être assouplies en ajoutant la nouvelle directive HttpProtocolOptions unsafe à la configuration.

Cette mise à jour corrige aussi le problème de la non-activation par défaut de mod_reqtimeout dans les nouvelles installations.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u8.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.25-1.

Nous vous recommandons de mettre à jour vos paquets apache2.