Информация по безопасности / 2014 / Информация о безопасности -- DSA-2989-1 apache2

Рекомендация Debian по безопасности

DSA-2989-1 apache2 -- обновление безопасности

Дата сообщения:

24.07.2014

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-0118, CVE-2014-0226, CVE-2014-0231.

Более подробная информация:

В HTTP-сервере Apache были обнаружены несколько уязвимостей.

• CVE-2014-0118

  Фильтр вводных данных DEFLATE (увеличивает тело запроса) в mod_deflate позволяет удалённым злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) с помощью специально сформированных данных в запросе, которые, при их разворачивании, занимаю слишком большой объем.

• CVE-2014-0226

  Было обнаружено состояние гонки в mod_status. Злоумышленник, имеющий доступ к публичной странице, содержащей информацию о статусе сервера, может отправить специально сформированные запросы, которые могут приводить к переполнению динамической памяти, который приводит к отказу в обслуживании, раскрытию чувствительной информации и потенциальному выполнению произвольного кода.

• CVE-2014-0231

  В mod_cgid была обнаружена уязвимость. Если на сервере, использующем mod_cgid, размещены CGI-сценарии, которые не собирают данные со стандартного ввода, удалённый злоумышленник может вызвать зависание дочерних процесcoв, что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.2.22-13+deb7u3.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.4.10-1.

Рекомендуется обновить пакеты apache2.