Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2452-1 apache2

Säkerhetsbulletin från Debian

DSA-2452-1 apache2 -- osäker standardinställning

Rapporterat den:

2012-04-15

Berörda paket:

apache2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-0216.

Ytterligare information:

Niels Heinen upptäckte ett säkerhetsproblem med standardinställningarna i Apache på Debian om vissa skriptningsmoduler som mod_php eller mod_rivet är installerade. Problemet uppkommer eftersom mappen /usr/share/doc, mappas till URLen /doc, kan innehålla exempelskript som kan köras av förfrågningar till denna URL. Även om åtkomst till URLen /doc är begränsad till anslutningar från localhost, kan detta fortfatande skapa säkerhetsproblem i två specifika konfigurationer:

• om någon front-end-server på samma värd vidarebefordrar anslutningar till en apache2-backend på localhost-adressen, eller
• om maskinen som kör apache2 även används för webbbrowsning.

System som inte möter någon av dessa två antagande är inte kända att vara sårbara. Det verkliga säkerhetsimplikationen beror på vilka paket (och därmed vilka exempelskript) som är installerade på systemet. Möjliga problem inkluderar serveröverskridande skriptning, kodkörning, eller läckage av känslig data.

Denna uppdatering tar bort den problematiska konfigurationssektionen från filerna /etc/apache2/sites-available/default och ../default-ssl. Vid uppgradering bör du inte blint tillåta dpkg att ersätta dessa filer. Istället bör du sammanfoga förändringarna, specifikt borttagandet av raden Alias /doc "/usr/share/doc" och det relaterade <Directory "/usr/share/doc/"> blocket, i dina versioner av dessa konfigurationsfiler. Du kan även vilja kontrollera om du har kopierat dessa sektioner till några ytterligare konfigurationer för virtuella värdar.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.2.16-6+squeeze7.

För uttestningsutgåvan (Wheezy), kommer detta problem att rättas in version 2.2.22-4.

För den instabila utgåvan (Sid), kommer detta problem att rättas in version 2.2.22-4.

För den experimentella distributionen har detta problem rättats i version 2.4.1-3.

Vi rekommenderar att ni uppgraderar era apache2-paket and adjust your configuration.