Säkerhetsbulletin från Debian
DSA-2579-1 apache2 -- flera problem
- Rapporterat den:
- 2012-11-30
- Berörda paket:
- apache2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 689936.
I Mitres CVE-förteckning: CVE-2012-4557, CVE-2012-4929. - Ytterligare information:
-
En sårbarhet har upptäckts i Apache HTTPD-servern:
- CVE-2012-4557
En brist upptäcktes när mod_proxy_ajp ansluter till en backend-server som tar för lång tid att svara. Givet en specifik konfiguration, kunde en fjärrangripare skicka vissa förfrågningar, vilket satte en backend-server i ett feltillstånd tills retry-tidsgränsen gick ut. Detta kunde leda till en temporär överbelastning.
Utöver detta lägger även denna uppdatering en lindring på serversidan till följande problem:
- CVE-2012-4929
Vid användning av SSL/TLS-datakomprimering med HTTPS i en anslutning till en webbserver, kunde man-in-the-middle-angripare få HTTP-rubriker i rentext. Detta problem är känt som
CRIME
-angrepp. Denna uppdatering av apache2 inaktiverar SSL-komprimering som standard. Ett nytt SSLCompression-direktiv har bakåtporterats och kan användas för att återaktivera SSL-datakomprimering i miljöer därCRIME
-angreppet inte är något problem. För mer information, se dokumentationen för SSLKomprimeringsdirektivet.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 2.2.16-6+squeeze10.
För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 2.2.22-12.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.2.22-12.
Vi rekommenderar att ni uppgraderar era apache2-paket.
- CVE-2012-4557