Bulletin d'alerte Debian

DLA-553-1 apache2 -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juillet 2016
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-5387.
Plus de précisions :

Scott Geary de VendHQ a découvert que le serveur web HTTPD d'Apache utilisait la valeur de l'en-tête du mandataire provenant des requêtes HTTP pour initialiser la variable d'environnement HTTP_PROXY des scripts CGI qui à son tour était incorrectement utilisée par certaines implémentations de client HTTP pour configurer le mandataire des requêtes HTTP sortantes. Un attaquant distant pourrait éventuellement utiliser ce défaut pour rediriger des requêtes HTTP réalisées par un script CGI à un mandataire contrôlé par l'attaquant à l'aide d'une requête HTTP malveillante.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2.2.22-13+deb7u7.

Nous vous recommandons de mettre à jour vos paquets apache2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.