Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2452-1 apache2

Debians sikkerhedsbulletin

DSA-2452-1 apache2 -- usikker standardopsætning

Rapporteret den:

15. apr 2012

Berørte pakker:

apache2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-0216.

Yderligere oplysninger:

Niels Heinen bemærkede, et sikkerhedsproblem i Apaches standardopsætning på Debian, hvis visse scripting-moduler, så som mod_php eller mod_rivet er installeret. Problemer viser sig, fordi mappen /usr/share/doc, som er mappet til URL'en /doc, kan indeholder skripteksempler, der kan udføres når denne URL besøges. Selv om adgang til URL'en /doc er begrænset til forbindelser fra localhost, opstår der stadig sikkerhedsproblemer i forbindelse med to specifikke opsætninger:

• hvis en frontendserver på den samme host forward'er forbindelser til en apache2-backendserver på localhostaddressen, eller
• hvis maskinen, der kører apache2, også anvendes til webbrowsing.

Systemer, der ikke opfylder en af disse to betingelser, er så vidt vides ikke sårbare. Den faktiske sikkerhedspåvirkning er afhængig af, hvilke pakker (og dermed hvilke eksempelskripter) er installeret på systemet. Mulige problemer er blandt andre udførelser af skripter tværs af servere, udførelse af kode eller lækage af følsomme oplysninger.

Opdateringen fjerner de problematiske opsætningsafsnit fra filerne /etc/apache2/sites-available/default og .../default-ssl. Når man opgraderer, bør man ikke blindt indføre ændringerne, dvs. fjernelsen af lijen Alias /doc "/usr/share/doc" og den relaterede blok <Directory "/usr/share/doc/">, i ens version af disse opsætningsfiler. Man bør også kontrollere, hvis man har kopieret disse afsnit til yderligere en virtuel hosts opsætning.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.16-6+squeeze7.

I distributionen testing (wheezy), vil dette problem blive rettet i version 2.2.22-4.

I den ustabile distribution (sid), vil dette problem blive rettet i version 2.2.22-4.

I den eksperimentelle distribution, er dette problem rettet i version 2.4.1-3.

Vi anbefaler at du opgraderer dine apache2-pakker samt tilpasse din opsætning.