Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2637-1 apache2

Säkerhetsbulletin från Debian

DSA-2637-1 apache2 -- flera sårbarheter

Rapporterat den:

2013-03-04

Berörda paket:

apache2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-3499, CVE-2012-4558, CVE-2013-1048.

Ytterligare information:

Flera sårbarheter har upptäckts i Apache HTTPD-servern.

• CVE-2012-3499

  Modulerna mod_info, mod_status, mod_imagemap, mod_ldap, och mod_proxy_ftp avslutade inte värdnamn och URIs korrekt i HTML-utdata vilket kan orsaka serveröverskridande skriptsårbarheter.

• CVE-2012-4558

  Mod_proxy_balancer avslutade inte värdnamn och URIs i dess balancer-manager-gränssnitt, vilket kan orsaka serveröverskridande skriptsårbarheter.

• CVE-2013-1048

  Hayawardh Vijayakumar upptäckte att apache2ctl-skriptet skapade låsmappen på ett osäkert sätt, vilket kunde tillåta en lokal angripare att få utökade rättighter via en attack via en symbolisk länk. Detta är ett Debianspecifikt problem.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 2.2.16-6+squeeze11.

För uttestningsutgåvan (wheezy) kommer dessa problem att rättas i version 2.2.22-13.

För den instabila utgåvan (Sid) kommer dessa problem att rättas i version 2.2.22-13.

Vi rekommenderar att ni uppgraderar era apache2-paket.