Säkerhetsbulletin från Debian

DSA-3796-1 apache2 -- säkerhetsuppdatering

Rapporterat den:
2017-02-26
Berörda paket:
apache2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.
Ytterligare information:

Flera sårbarheter har upptäckts i HTTP-servern Apache2.

  • CVE-2016-0736

    RedTeam Pentesting GmbH upptäckte att mod_session_crypto var sårbar för padding oracle-angrepp, vilket kunde tillåta en angripare att gissa sessionskakan.

  • CVE-2016-2161

    Maksim Malyutin upptäckte att illasinnad indata till mod_auth_digest kunde orsaka servern att krascha, vilket orsakar överbelastning.

  • CVE-2016-8743

    David Dennerline från IBM Security's X-Force Researchers, och Régis Leroy upptäckte problem med sättet som Apache hanterar en bredd av ovanliga whitespace-mönster i HTTP-förfrågningar. Under vissa konfigurationer kunde detta leda till response splitting eller cache-föroreningssårbarheter. För att rätta dessa problem gör denna uppdatering Apache mer strikt i vilka HTTP-förfrågningar den accepterar.

    Om detta orsakar problem med icke-konformativa klienter kan vissa kontroller mildras genom att lägga till det nya direktivet HttpProtocolOptions unsafe till konfigurationen.

Denna uppdatering rättar även problemet när mod_reqtimeout inte aktiverades som standard på nya installationer.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.4.10-10+deb8u8.

För uttestningsutgåvan (Stretch) och den instabila distributionen (Sid) har dessa problem rättats i version 2.4.25-1.

Vi rekommenderar att ni uppgraderar era apache2-paket.