Информация по безопасности / 2013 / Информация о безопасности -- DSA-2637-1 apache2

Рекомендация Debian по безопасности

DSA-2637-1 apache2 -- несколько проблема

Дата сообщения:

04.03.2013

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1048.

Более подробная информация:

В сервере Apache HTTPD были обнаружены несколько уязвимостей.

• CVE-2012-3499

  Модули modules mod_info, mod_status, mod_imagemap, mod_ldap и mod_proxy_ftp неправильно экранируют имена узлов и URI в выводе HTML, что приводит к появлению проблем с межсайтовым скриптингом.

• CVE-2012-4558

  Mod_proxy_balancer неправильно экранируют имена узлов и URI в интерфейсе balancer-manager, что приводит к проблемам с межсайтовым скриптингом.

• CVE-2013-1048

  Гайавард Виджаякумар обнаружил, что сценарий apache2ctl создаёт защищённый каталог небезопасным способом, позволяя локальному атакующему добиться повышения привилегий через атаку по символической ссылке. Эта проблема специально касается Debian.

В стабильном выпуске (squeeze) эти проблема были исправлены в версии 2.2.16-6+squeeze11.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены в версии 2.2.22-13.

В нестабильном выпуске (sid) эти проблемы будут исправлены в версии 2.2.22-13.

Рекомендуется обновить пакеты apache2.