Debians sikkerhedsbulletin
DSA-3325-1 apache2 -- sikkerhedsopdatering
- Rapporteret den:
- 1. aug 2015
- Berørte pakker:
- apache2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-3183, CVE-2015-3185.
- Yderligere oplysninger:
-
Flere sårbarheder er fundet i Apache HTTPD-serveren.
- CVE-2015-3183
Et HTTP-forespørgselssmuglingsangreb var muligt på grund af en fejl i fortolkningen af chunked forespørgsler. En ondsindet klient kunne tvinge serveren til at misfortolke forespørgselslængden, hvilket muliggjorde cacheforgiftning eller kapring af loginoplysninger, hvis en mellemliggende proxy er i brug.
- CVE-2015-3185
En designfejl i funktionen
ap_some_auth_required
, gjorde API'et ubrugeligt i apache2 2.4.x. Det kunne føre til at moduler, som anvender API'et, til at tillade adgang, selv om de ikke ellers skulle gøre det. Rettelsen tilbagefører det nyeap_some_authn_required
-API fra 2.4.16. Problemet påvirker ikke den gamle stabile distribution (wheezy).
Desuden fjerner de opdaterede pakker i den gamle stabile distribution (wheezy) en begrænsning i Diffie-Hellman-parametrene (DH) til 1024 bit. Begrænsningen kunne potentielt gøre det muligt for en angriber med meget store databehandlingsressourcer, så som en nationalstat, at bryde DH-nøgleudveksling ved forudgående udregning. Den opdaterede apache2-pakke tillader også at opsætte skræddersyede DH-parametre. Flere oplysninger er indeholdt i filen changelog.Debian.gz. Disse forbedringer er allerede til stede i distributionerne stable, testing og unstable.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 2.2.22-13+deb7u5.
I den stabile distribution (jessie), er disse problemer rettet i version 2.4.10-10+deb8u1.
I distributionen testing (stretch), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine apache2-pakker.
- CVE-2015-3183