Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2989-1 apache2

Säkerhetsbulletin från Debian

DSA-2989-1 apache2 -- säkerhetsuppdatering

Rapporterat den:

2014-07-24

Berörda paket:

apache2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0118, CVE-2014-0226, CVE-2014-0231.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i Apache HTTP-servern.

• CVE-2014-0118

  Indatafiltret DEFLATE (blåser upp kroppen för förfrågningar) i mod_deflate tillåter fjärrangripare att orsaka en överbelastning (resurskonsumption) via skapad förfrågningsdata som dekomprimeras till en mycket större storlek.

• CVE-2014-0226

  En kapplöpningseffekt har upptäckts i mod_status. En angripare med åtkomst till en publik serverstatussida på en server kunde skicka försiktigt skapade förfrågningar som kunde leda till heapbuffertspill, orsaka överbelastning, avslöjande av känslig information eller potentiellt körning av illasinnad kod.

• CVE-2014-0231

  En brist har upptäckts i mod_cgid. Om en server som använder mod_cgid hostade CGI-skript som inte konsumerade standardinput, kunde en fjärrangripare orsaka barnprocesser att hänga sig oändligt, vilket leder till en överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.2.22-13+deb7u3.

För uttestningsutgåvan (Jessie) kommer dessa problem att rättas i version 2.4.10-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.4.10-1.

Vi rekommenderar att ni uppgraderar era apache2-paket.