Bulletin d'alerte Debian

DSA-3325-1 apache2 -- Mise à jour de sécurité

Date du rapport :
1er août 2015
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3183, CVE-2015-3185.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTPD Apache.

  • CVE-2015-3183

    Une attaque de dissimulation de requête HTTP était possible à cause d'un bogue dans l'analyse de requêtes par bloc. Un client malveillant pourrait forcer le serveur à mal interpréter la longueur de la requête, permettant un empoisonnement de cache ou un détournement d'identification si un mandataire intermédiaire est utilisé.

  • CVE-2015-3185

    Une erreur de conception dans la fonction ap_some_auth_required rend l'API inutilisable dans apache2 2.4.x. Cela pourrait conduire des modules utilisant cette API à permettre un accès qu'ils n'auraient pas autorisé autrement. La correction rétroporte la nouvelle API ap_some_authn_required de 2.4.16. Ce problème n'affecte pas la distribution oldstable (Wheezy).

De plus, le paquet mis à jour pour la distribution oldstable (Wheezy) supprime une limitation des paramètres Diffie-Hellman (DH) à 1024 octets. Cette limitation peut éventuellement permettre à un attaquant disposant de très grandes capacités de calcul, tel qu'un État, de casser un échange de clé par calcul préalable (precomputation). Le paquet apache2 mis à jour permet aussi de configurer des paramètres DH personnalisés. Vous trouverez plus d'information dans le fichier changelog.Debian.gz. Ces améliorations sont déjà présentes dans les distributions stable, testing et unstable.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-13+deb7u5.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u1.

Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets apache2.