Рекомендация Debian по безопасности
DSA-2579-1 apache2 -- многочисленные проблемы
- Дата сообщения:
- 30.11.2012
- Затронутые пакеты:
- apache2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 689936.
В каталоге Mitre CVE: CVE-2012-4557, CVE-2012-4929. - Более подробная информация:
-
В HTTPD сервере Apache была обнаружена уязвимость:
- CVE-2012-4557
Уязвимость проявляется в случае когда при подключении mod_proxy_ajp к движку сервера ответ от сервера приходится ожидать слишком долго. При определённой настройке удалённый злоумышленник может отправлять определённые запросы, которые будут переводить движок сервера в состояние ошибки до момента истечения времени на повторную попытку. Это может приводить к временному отказу в обслуживании.
Кроме того, данное обновление также содержит временное решение следующей проблемы:
- CVE-2012-4929
Если используется метод сжатия SSL/TLS вместе с HTTPS при подключении к веб-браузеру, то злоумышленник, осуществляющий атаку по принципу человек-в-середине может получить заголовки HTTP в формате обычного текста. Данная проблема известна как атака
CRIME
. В данном обновлении apache2 по умолчанию сжатие SSL отключено. Новая директива SSLCompression, которая была перенесена из более новой версии, может использоваться для повторного включения сжатия данных SSL в окружения, где атакаCRIME
не является проблемой. Дополнительную информацию вы можете получить в документации по директиве SSLCompression.
В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.2.16-6+squeeze10.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 2.2.22-12.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.2.22-12.
Рекомендуется обновить пакеты apache2.
- CVE-2012-4557