Рекомендация Debian по безопасности

DSA-3796-1 apache2 -- обновление безопасности

Дата сообщения:
26.02.2017
Затронутые пакеты:
apache2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.
Более подробная информация:

В HTTP-сервере Apache2 было обнаружено несколько уязвимостей.

  • CVE-2016-0736

    Сотрудники RedTeam Pentesting GmbH обнаружили, что модуль mod_session_crypto уязвим к атакам через предсказание дополнения, что может позволить злоумышленнику отгадать куки сессии.

  • CVE-2016-2161

    Максим Малютин обнаружил, что некорректные входные данные, передаваемые модулю mod_auth_digest, могут вызывать аварийную остановку сервера, приводя к отказу в обслуживании.

  • CVE-2016-8743

    Дэвид Деннерлайн из IBM Security's X-Force Researchers и Регис Лерой обнаружили проблемы в способе, используемом Apache для обработки основного шаблона необычных шаблонов пробельных символов в HTTP-запросах. При некоторых настройках это может приводить к разбивке ответа или заражению кэша. Для исправления указанных проблем в данном обновлении были изменены настройки Apache httpd так, чтобы служба более строго отбирала принимаемые HTTP-запросы.

    Если это будет приводить к проблемам в работе клиентов, то некоторые проверки можно отключить путём добавления новой директивы HttpProtocolOptions unsafe в файл настроек.

Кроме того, данное обновление исправляет проблему, из-за которой модуль mod_reqtimeout не включался по умолчанию на свежих установках.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-10+deb8u8.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 2.4.25-1.

Рекомендуется обновить пакеты apache2.