Debians sikkerhedsbulletin
DSA-2989-1 apache2 -- sikkerhedsopdatering
- Rapporteret den:
- 24. jul 2014
- Berørte pakker:
- apache2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-0118, CVE-2014-0226, CVE-2014-0231.
- Yderligere oplysninger:
-
Flere sikkerhedsproblemer er fundet i Apache HTTP-serveren.
- CVE-2014-0118
Inputfilteret DEFLATE (oppuster forespørgselskroppe) i mod_deflate, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (ressourceforbrug) ved hjælp af fabrikerede forespørgselsdata, som dekomprimeres til en meget større størrelse.
- CVE-2014-0226
En kapløbstilstand blev fundet i mod_status. En angriber med mulighed for at tilgå en offentlig serverstatusside på en server, kunne sende omhyggeligt fabrikerede forespørgsler, hvilket kunne føre til et heapbufferoverløb, forårsagede lammelsesangreb (denial of service), afsløring af følsomme oplysninger eller potentielt udførelse af vilkårlig kode.
- CVE-2014-0231
En fejl blev fundet i mod_cgid. Hvis en server, som anvender mod_cgid-hostede CGI-skripter som ikke konsumerer standardinddata, kunne en fjernangriber forårsage at børneprocesser hang i uendelig tid, førende til lammelsesangreb.
I den stabile distribution (wheezy), er disse problemer rettet i version 2.2.22-13+deb7u3.
I distributionen testing (jessie), vil disse problemer blive rettet i version 2.4.10-1.
I den ustabile distribution (sid), er disse problemer rettet i version 2.4.10-1.
Vi anbefaler at du opgraderer dine apache2-pakker.
- CVE-2014-0118