Debians sikkerhedsbulletin
DSA-2637-1 apache2 -- flere problemer
- Rapporteret den:
- 4. mar 2013
- Berørte pakker:
- apache2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-3499, CVE-2012-4558, CVE-2013-1048.
- Yderligere oplysninger:
-
Flere sårbarheder er fundet i Apache HTTPD-serveren.
- CVE-2012-3499
Modulerne mod_info, mod_status, mod_imagemap, mod_ldap og mod_proxy_ftp indkapslede ikke på korrekt vis værtsnavne og URI'er i HTML-uddata, hvilket medførte sårbareheder i forbindelse med udførelse af skripter på tværs af servere.
- CVE-2012-4558
Mod_proxy_balancer indkapslede ikke på korrekt vis værtsnavne og URI'er i sin balancer-manager-grænseflade, hvilket medførte en sårbarehed i forbindelse med udførelse af skripter på tværs af servere.
- CVE-2013-1048
Hayawardh Vijayakumar bemærkede at skriptet apache2ctl oprettede låsningsmappen på usikker vis, hvilket gjorde det muligt for en lokal angriber at opnå forøgede rettigheder via et symlinkangreb. Det er et Debian-specifikt problem.
I den stabile distribution (squeeze), er disse problemer rettet i version 2.2.16-6+squeeze11.
I distributionen testing (wheezy), vil disse problemer blive rettet i version 2.2.22-13.
I den ustabile distribution (sid), vil disse problemer blive rettet i version 2.2.22-13.
Vi anbefaler at du opgraderer dine apache2-pakker.
- CVE-2012-3499