Bulletin d'alerte Debian
DSA-3325-1 apache2 -- Mise à jour de sécurité
- Date du rapport :
- 1er août 2015
- Paquets concernés :
- apache2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-3183, CVE-2015-3185.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTPD Apache.
- CVE-2015-3183
Une attaque de dissimulation de requête HTTP était possible à cause d'un bogue dans l'analyse de requêtes par bloc. Un client malveillant pourrait forcer le serveur à mal interpréter la longueur de la requête, permettant un empoisonnement de cache ou un détournement d'identification si un mandataire intermédiaire est utilisé.
- CVE-2015-3185
Une erreur de conception dans la fonction
ap_some_auth_required
rend l'API inutilisable dans apache2 2.4.x. Cela pourrait conduire des modules utilisant cette API à permettre un accès qu'ils n'auraient pas autorisé autrement. La correction rétroporte la nouvelle APIap_some_authn_required
de 2.4.16. Ce problème n'affecte pas la distribution oldstable (Wheezy).
De plus, le paquet mis à jour pour la distribution oldstable (Wheezy) supprime une limitation des paramètres Diffie-Hellman (DH) à 1024 octets. Cette limitation peut éventuellement permettre à un attaquant disposant de très grandes capacités de calcul, tel qu'un État, de casser un échange de clé par calcul préalable (
precomputation
). Le paquet apache2 mis à jour permet aussi de configurer des paramètres DH personnalisés. Vous trouverez plus d'information dans le fichier changelog.Debian.gz. Ces améliorations sont déjà présentes dans les distributions stable, testing et unstable.Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-13+deb7u5.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u1.
Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets apache2.
- CVE-2015-3183