Bulletin d'alerte Debian

DLA-841-1 apache2 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 février 2017
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-8743.
Plus de précisions :

Cette publication corrige une vulnérabilité de sécurité dans le code d’analyse de l’en-tête.

David Dennerline, de X-Force Researchers pour la sécurité d’IBM, et Régis Leroy ont découvert des problèmes dans la manière dont Apache gère un grand modèle de modèles d’espaces blancs inhabituels dans les requêtes HTTP. Dans quelques configurations, cela pourrait conduire à des vulnérabilités de découpage de réponse ou de pollution de cache. Pour corriger ces problèmes, cette mise à jour rend httpd d’Apache plus strict dans la façon dont les requêtes HTTP sont acceptées.

Si cela cause des problèmes dans des clients non conformes, quelques vérifications peuvent être assouplies en ajoutant la nouvelle directive HttpProtocolOptions unsafe à la configuration. Plus d’informations sont disponibles sur

https://httpd.apache.org/docs/current/mod/core.html#httpprotocoloptions

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.2.22-13+deb7u8.

Nous vous recommandons de mettre à jour vos paquets apache2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.