Bulletin d'alerte Debian

DSA-3913-1 apache2 -- Mise à jour de sécurité

Date du rapport :
18 juillet 2017
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 868467.
Dans le dictionnaire CVE du Mitre : CVE-2017-9788.
Plus de précisions :

Robert Swiecki a signalé que mod_auth_digest n'initialise ou ne réinitialise pas correctement l'emplacement de la valeur dans les en-têtes de « [Proxy-]Authorization » de type Digest entre des affectations clé=valeur successives, menant à la divulgation d'informations ou à un déni de service.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 2.4.10-10+deb8u10.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.4.25-3+deb9u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.4.27-1.

Nous vous recommandons de mettre à jour vos paquets apache2.