Информация по безопасности / 2012 / Информация о безопасности -- DSA-2452-1 apache2

Рекомендация Debian по безопасности

DSA-2452-1 apache2 -- небезопасные настройки по умолчанию

Дата сообщения:

15.04.2012

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-0216.

Более подробная информация:

Нильс Найнен заметил проблему безопасности с настройками Apache по умолчанию в системах Debian в случае, если установлены определённые модули поддержки языков сценариев, такие как mod_php или mod_rivet. Проблема возникает из-за того, что каталог /usr/share/doc, который отображается в URL /doc, может содержать пример сценариев, которые могут быть выполнены путём отправки запросов по этому URL. Хотя доступ к URL /doc ограничивается соединениями с локального узла, это всё равно создаёт проблема безопасности при двух указанных конкретных настройках:

• если внешний сервер на том же узле перенаправляет подключения на внутренний сервер apache2 по адресу локального узла, либо
• если машина, на которой запущен apache2, также используется и для просмотра веб-страниц в Интернете.

Неизвестно, подвержены ли указанной уязвимости системы, не удовлетворяющие одному из приведённых условий. Фактическое влияние на безопасность системы зависит от того, какие пакеты (соответственно, и какие примеры сценариев) установлены в системе. Среди возможных проблем можно назвать межсайтовый скриптинг, выполнение кода и утечку чувствительных данных.

Данное обновление удаляет проблемные разделы настройки из файлов /etc/apache2/sites-available/default и .../default-ssl. При обновлении вам не следует вслепую разрешать dpkg заменить указанные файлы. Вам необходимо вручную объединить изменения, в частности, удаление строки Alias /doc "/usr/share/doc" и связанный с ней блок <Directory "/usr/share/doc/"> с вашими версиями этих файлов настройки. Кроме того, вам может потребоваться проверить, были ли указанные разделы скопированы в какие-либо дополнительные настройки виртуальных узлов.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.2.16-6+squeeze7.

В тестируемом выпуске (wheezy) эта проблема будет исправлена в версии 2.2.22-4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.2.22-4.

В экспериментальном выпуске эта проблема была исправлена в версии 2.4.1-3.

Рекомендуется обновить пакеты apache2 и изменить ваши настройки.