Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2405-1 apache2

Säkerhetsbulletin från Debian

DSA-2405-1 apache2 -- multiple issues

Rapporterat den:

2012-02-06

Berörda paket:

apache2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-3607, CVE-2011-3368, CVE-2011-3639, CVE-2011-4317, CVE-2012-0031, CVE-2012-0053.

Ytterligare information:

Flera sårbarheter har upptäckts i Apache HTTPD-server:

• CVE-2011-3607:

  Ett heltalsspill i ap_pregsub() kunde tillåta lokala angripare att köra godtycklig kod med utökade rättigheter via skapade .htaccess-filer.

• CVE-2011-3368 CVE-2011-3639 CVE-2011-4317:

  Apache HTTP-servern validerade inte förfråge-URIer ordentligt för proxade förfrågningar. I vissa reverseproxykonfigurationer som använder ProxyPassMatch-direktivet eller som använder RewriteRule-direktivet som [P]-flaggan kunde en fjärrangripare få proxyn att ansluta till en godtycklig server. Detta kunde tillåta angripare att få åtkomst till interna servrar som inte annars skulle vara åtkomliga från utsidan.

  Dessa tre CVE-ids anger tre aningens olika varianter på samma problem.

  Notera att, även med denna sårbarhet rättat, är det administratörens ansvar att säkerställa att det reguljära uttrycket för utbytesmönstret för mål-URIn inte tillåter en klient att lägga till godtyckliga strängar till host eller port-delarna av mål-URIn. Exempelvis så är konfigurationen

    ProxyPassMatch ^/mail(.*)  http://internal-host$1
  

  fortfarande osäker och bör ersättas med en av följande konfigurationer:

    ProxyPassMatch ^/mail(/.*)  http://internal-host$1
    ProxyPassMatch ^/mail/(.*)  http://internal-host/$1
  

• CVE-2012-0031:

  En barnprocess från apache2 kunde orsaka föräldraprocessen att krascha under nedstängning. Detta är en kränkning av rättighetsseparationen mellan apache2-processen och kunde potentiellt användas för att försämra effekterna av en annan sårbarhet.

• CVE-2012-0053:

  Svarmeddelandet för felkod 400 (felaktig förfrågan) kunde användas för att avslöja httpOnly-kakor. Detta kunde tillåta en fjärrangripare som använder serveröverskridande skriptning av stjäla autentiseringskakor.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version apache2 2.2.9-10+lenny12.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version apache2 2.2.16-6+squeeze6

För uttestningsutgåvan (Wheezy) kommer dessa problem att rättas i version 2.2.22-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.2.22-1.

Vi rekommenderar att ni uppgraderar era apache2-paket.

Denna uppdatering innehåller även ett uppdaterat apache2-mpm-itk-paket som har kompilerats om mot det uppdaterade apache2-paketen. Det nya versionsnumret för den gamla stabila utgåvan är 2.2.6-02-1+lenny7. I den stabila utgåvan, har apache2-mpm-itk samm versionsnummer som apache2.