Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2237-1 apr

Debians sikkerhedsbulletin

DSA-2237-1 apr -- lammelsesangreb

Rapporteret den:

15. maj 2011

Berørte pakker:

apr

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-0419.

Yderligere oplysninger:

En fejl blev fundet i APR-biblioteket, som kunne udnyttes gennem Apache HTTPD's mod_autoindex. Hvis en mappe indekseret af mod_autoindex indeholdt filer med tilstrækkeligt lange navne, kunne en fjernangriber sende en omhyggeligt fabrikeret forespørgsel, der medførte overdrevet CPU-forbrug. Det kunne anvendes i et lammelsesangreb (denial of service).

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.2.12-5+lenny3.

I den stabile distribution (squeeze), er dette problem rettet i version 1.4.2-6+squeeze1.

I distributionen testing (wheezy), vil problemet blive rettet i version 1.4.4-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.4-1.

Vi anbefaler at du opgraderer dine apr-pakker og genstarter apache2-serveren.