Cố vấn bảo mật Debian

DSA-3278-1 libapache-mod-jk -- cập nhật bảo mật

Ngày báo cáo:
03 Th6 2015
Gói chịu tác động:
libapache-mod-jk
Có thể bị tấn công:
Tham khảo cơ sở dữ liệu bảo mật:
Trong hệ thống báo lỗi Debian: Lỗi 783233.
Trong từ điển CVE của Miter: CVE-2014-8111.
Thêm thông tin:

Một lỗ hổng làm dò rỉ thông tin bởi vì việc xử lý chỉ lệnh JkMount/JkUnmount không đúng được tìm thấy trong mô-đun mod_jk dành cho Apache 2 để chuyển tiếp yêu cầu từ máy chủ dịch vụ web Apache cho Tomcat. Quy tắc JkUnmount cho cây con của quy tắc JkMount trước đó có thể bị bỏ qua. Việc này cho thể cho phép một máy chủ trên mạng tiềm tàng khả năng truy cập vào thành phần lạ riêng trong thư mục mà đáng ra họ không được phép truy cập.

Với bản phân phối ổn định cũ (wheezy), lỗi này được sửa trong phiên bản 1:1.2.37-1+deb7u1.

Với bản phân phối ổn định (jessie), lỗi này được sửa trong phiên bản 1:1.2.37-4+deb8u1.

Với bản phân phối thử nghiệm (stretch), lỗi này đã được sửa trong phiên bản 1:1.2.40+svn150520-1.

Với bản phân phối chưa ổn định (sid), lỗi này đã được sửa trong phiên bản 1:1.2.40+svn150520-1.

Chúng tôi khuyên bạn nên nâng cấp gói libapache-mod-jk của mình.