Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2405-1 apache2

Debians sikkerhedsbulletin

DSA-2405-1 apache2 -- flere problemer

Rapporteret den:

6. feb 2012

Berørte pakker:

apache2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-3607, CVE-2011-3368, CVE-2011-3639, CVE-2011-4317, CVE-2012-0031, CVE-2012-0053.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Apache HTTPD Server:

• CVE-2011-3607:

  Et heltalsoverløb i ap_pregsub() kunne gøre det muligt for lokale angribere, at udføre vilkårlig kode med forøgede rettigheder via fabrikerede .htaccess-filer.

• CVE-2011-3368 CVE-2011-3639 CVE-2011-4317:

  Apache HTTP Server validerede ikke på korrekt vis forespørgsels-URI'en ved proxy'ede forespørgsler. I visse reverse proxy-opsætninger med anvendelse af direktivet ProxyPassMatch eller anvendelse af direktivet RewriteRule med [P]-flaget, kunne en fjernangriber få proxy'en til at forbinde sig med vilkårlig server. Dermed kunne det blive muligt for angriberen, at tilgå interne servere, som ellers ikke er tilgængelige ude fra.

  De tre CVE-id'er vedrører en smule forskellige varianter af det samme problem.

  Bemærk: Selv om problemet er rettet, er det administratorens ansvar at sikre sig, at det regulære udtræks erstatningsmønster for mål-URI'en ikke tillader, at en klient kan tilføje vilkårlige strenge til værts- eller portdelene af mål-URI'en. Eksempelvis er følgende opsætning stadig sårbar

      ProxyPassMatch ^/mail(.*)  http://internal-host$1
  

  og bør skal erstattes af en af følgende opsætninger:

      ProxyPassMatch ^/mail(/.*)  http://internal-host$1
      ProxyPassMatch ^/mail/(.*)  http://internal-host/$1
  

• CVE-2012-0031:

  En apache2-childproces kunne bevirke, at parentprocessen gik ned under en nedlukning. Det er en overtrædelse af rettighedsadskillelsen mellem apache2-processerne, og kunne potentielt anvendes til at forværre andre sårbarheders konsekvenser.

• CVE-2012-0053:

  Svarmeddelelsen til fejlkode 400 (bad request) kunne anvendes til at blotlægge httpOnly-cookies. Dermed kunne det være muligt for en fjernangriber, at udføre skripter på tværs af servere, for at sjæle sessionscookies.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 2.2.9-10+lenny12 af apache2.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.2.16-6+squeeze6 af apache2.

I distributionen testing (wheezy), vil disse problemer blive rettet i version 2.2.22-1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.2.22-1.

Vi anbefaler at du opgraderer dine apache2-pakker.

Opdateringen indeholder også opdaterede apache2-mpm-itk-pakker, som er blevet genoversat mod de opdaterede apache2-pakker. Det nye versionsnummer i den gamle stabile distribution er 2.2.6-02-1+lenny7. I den stabile distribution, har apache2-mpm-itk det samme versionsnummer som apache2.